ホーム > 特許ランキング > ミサワホーム株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-29
(45)【発行日】2022-10-07
(54)【発明の名称】匿名化システム
(51)【国際特許分類】
G06F 21/62 20130101AFI20220930BHJP
【FI】
G06F21/62 354
【請求項の数】
6
(21)【出願番号】P 2019142651
(22)【出願日】2019-08-02
(65)【公開番号】P2021026415
(43)【公開日】2021-02-22
【審査請求日】2021-07-28
(73)【特許権者】
【識別番号】307042385
【氏名又は名称】ミサワホーム株式会社
(74)【代理人】
【識別番号】100090033
【弁理士】
【氏名又は名称】荒船 博司
(72)【発明者】
【氏名】川上 隆士
【審査官】局 成矢
(56)【参考文献】
【文献】特開2018-109838(JP,A)
【文献】国際公開第2014/050027(WO,A1)
【文献】特開2019-128916(JP,A)
【文献】米国特許出願公開第2019/0236310(US,A1)
【文献】国際公開第2016/002086(WO,A1)
【文献】特開2017-041048(JP,A)
【文献】特開2012-248040(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
外部のデータ収集元と接続され、当該データ収集元からデータを収集する収集手段と、収集した前記データの中に個人を特定可能な情報が含まれるか否かを判断する判断手段と、
前記判断手段による判断の基準となるリストと、
前記個人を特定可能な情報を、個人を特定不可能な情報に置換する置換手段と、
リスト追加手段と、を備えており、
前記リストには、前記個人を特定不可能な情報の候補が掲載されたホワイトリストと、前記個人を特定可能な情報の候補が掲載されたブラックリストと、が含まれており、
前記判断手段は、前記収集したデータと前記リスト内の情報とを照合し、前記ホワイトリストに掲載された候補のいずれかと一致する情報があるか、前記ブラックリストに掲載された候補のいずれかと一致する情報があるかを判断し、
前記置換手段は、前記収集したデータの中に前記ブラックリストに掲載された候補のいずれかと一致した情報がある場合に、当該情報を、前記個人を特定不可能な情報に置換し、
前記リスト追加手段は、前記収集したデータに含まれた情報が、前記ホワイトリストに掲載された候補及び前記ブラックリストに掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、前記ホワイトリスト及び前記ブラックリストのいずれかの候補として追加掲載することを特徴とする匿名化システム。
【請求項2】
請求項1に記載の匿名化システムにおいて、前記収集したデータに含まれた情報が前記ブラックリストに掲載された候補のいずれかと一致し、かつ前記置換手段によって置換不可能の場合に、前記ブラックリストに掲載された候補のいずれかと一致する前記情報を削除する第一削除手段を更に備えることを特徴とする匿名化システム。
【請求項3】
請求項1又は2に記載の匿名化システムにおいて、前記収集したデータに含まれた情報が、前記ホワイトリストに掲載された候補及び前記ブラックリストに掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を削除する第二削除手段を更に備えることを特徴とする匿名化システム。
【請求項4】
請求項1~3のいずれか一項に記載の匿名化システムにおいて、前記収集したデータを記憶するためのデータベースを更に備えており、
前記データベースに記憶される前記データは、前記収集したデータに含まれた情報が前記判断手段によって前記ホワイトリストに掲載された候補のいずれかと一致すると判断されたデータと、前記収集したデータに含まれた情報が前記置換手段によって前記個人を特定不可能な情報に置換されたデータであることを特徴とする匿名化システム。
【請求項5】
請求項1~4のいずれか一項に記載の匿名化システムにおいて、前記データ収集元は、複数のユーザからデータを収集するために構築されたデータ収集ネットワークであることを特徴とする匿名化システム。
【請求項6】
請求項5に記載の匿名化システムにおいて、前記収集したデータの中には、前記複数のユーザによって任意に設定変更可能な情報が含まれ、当該任意に設定変更可能な情報が、前記判断手段による判断の対象となっていることを特徴とする匿名化システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名化システムに関する。
【背景技術】
【0002】
近年、情報通信技術の進展により、様々な分野において膨大な数の個人情報の収集及び分析が可能となっている。
例えば特許文献1には、住宅における消費電力量を、分岐する複数の回路ごとに計測できるようにし、その計測結果を、住宅内に設けられたエネルギー表示器でも、スマートフォンなどの携帯情報端末でも共通して表示できる機能を有したネットワークサービスシステムが開示されている。そして、当該システムでは、複数の回路ごとの計測結果をエネルギー表示器や携帯情報端末で表示するにあたって、ユーザが認識しやすいように、分岐する複数の回路ごとに任意の名称を付与できるようになっているが、サービスの提供者(管理者)も同一のデータを管理している。つまり、ユーザによって任意に名付けが行われたデータが、サービスの提供者によって収集及び分析可能となっている。
例えば特許文献1には、住宅における消費電力量を、分岐する複数の回路ごとに計測できるようにし、その計測結果を、住宅内に設けられたエネルギー表示器でも、スマートフォンなどの携帯情報端末でも共通して表示できる機能を有したネットワークサービスシステムが開示されている。そして、当該システムでは、複数の回路ごとの計測結果をエネルギー表示器や携帯情報端末で表示するにあたって、ユーザが認識しやすいように、分岐する複数の回路ごとに任意の名称を付与できるようになっているが、サービスの提供者(管理者)も同一のデータを管理している。つまり、ユーザによって任意に名付けが行われたデータが、サービスの提供者によって収集及び分析可能となっている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2012-248040号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、収集したデータの利活用をサービスの提供者が進めていく上で、収集したデータに個人を特定可能な情報(例えば上記の任意の名称)が含まれている場合には、個人情報保護の観点から匿名化処理を行う必要がある。しかしながら、収集されるデータの数は膨大であり、データの一つ一つに目を通して匿名化を適宜行うことは不可能であった。
【0005】
本発明は上記事情に鑑みてなされたものであり、収集したデータの匿名化処理を効率的かつ確実に行うことが可能な匿名化システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1に記載の発明は、例えば図1~図6に示すように、データ収集元と接続され、当該データ収集元からデータを収集する収集手段(通信部13)と、
収集した前記データの中に個人を特定可能な情報が含まれるか否かを判断する判断手段(判断プログラム161)と、
前記判断手段による判断の基準となるリスト151,152と、
前記個人を特定可能な情報を、個人を特定不可能な情報に置換する置換手段(置換プログラム163)と、
リスト追加手段(リスト追加プログラム165)と、を備えており、
前記リストには、前記個人を特定不可能な情報の候補が掲載されたホワイトリスト151と、前記個人を特定可能な情報の候補が掲載されたブラックリスト152と、が含まれており、
前記判断手段は、前記収集したデータと前記リスト151,152内の情報とを照合し、前記ホワイトリスト151に掲載された候補のいずれかと一致する情報があるか、前記ブラックリスト152に掲載された候補のいずれかと一致する情報があるかを判断し、
前記置換手段は、前記収集したデータの中に前記ブラックリスト152に掲載された候補のいずれかと一致した情報がある場合に、当該情報を、前記個人を特定不可能な情報に置換し、
前記リスト追加手段は、前記収集したデータに含まれた情報が、前記ホワイトリスト151に掲載された候補及び前記ブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、前記ホワイトリスト151及び前記ブラックリスト152のいずれかの候補として追加掲載することを特徴とする。
収集した前記データの中に個人を特定可能な情報が含まれるか否かを判断する判断手段(判断プログラム161)と、
前記判断手段による判断の基準となるリスト151,152と、
前記個人を特定可能な情報を、個人を特定不可能な情報に置換する置換手段(置換プログラム163)と、
リスト追加手段(リスト追加プログラム165)と、を備えており、
前記リストには、前記個人を特定不可能な情報の候補が掲載されたホワイトリスト151と、前記個人を特定可能な情報の候補が掲載されたブラックリスト152と、が含まれており、
前記判断手段は、前記収集したデータと前記リスト151,152内の情報とを照合し、前記ホワイトリスト151に掲載された候補のいずれかと一致する情報があるか、前記ブラックリスト152に掲載された候補のいずれかと一致する情報があるかを判断し、
前記置換手段は、前記収集したデータの中に前記ブラックリスト152に掲載された候補のいずれかと一致した情報がある場合に、当該情報を、前記個人を特定不可能な情報に置換し、
前記リスト追加手段は、前記収集したデータに含まれた情報が、前記ホワイトリスト151に掲載された候補及び前記ブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、前記ホワイトリスト151及び前記ブラックリスト152のいずれかの候補として追加掲載することを特徴とする。
【0007】
請求項1に記載の発明によれば、収集したデータの中に個人を特定可能な情報が含まれるか否かを判断する判断手段が、収集したデータとリスト151,152内の情報とを照合し、ホワイトリスト151に掲載された候補のいずれかと一致する情報があるか、ブラックリスト152に掲載された候補のいずれかと一致する情報があるかを判断するので、収集したデータの一つ一つに対して人の目を通さずに、収集したデータに含まれた情報が、ブラックリスト152に掲載された個人を特定可能な情報の候補に一致するか否かの判断を行うことができる。
さらに、収集したデータの中に、判断手段によってブラックリスト152に掲載された候補のいずれかと一致する情報があると判断された場合に、置換手段が、当該情報を、個人を特定不可能な情報に置換するので、収集したデータの一つ一つに対して人の目を通さずに匿名化処理を行うことができる。
したがって、収集したデータの匿名化処理を効率的かつ確実に行うことが可能となる。
また、収集したデータに含まれた情報が、ホワイトリスト151に掲載された候補及びブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、リスト追加手段によって、ホワイトリスト151及びブラックリスト152のいずれかの候補として追加掲載できるので、以後の判断手段による判断の精度を高めることができる。
さらに、収集したデータの中に、判断手段によってブラックリスト152に掲載された候補のいずれかと一致する情報があると判断された場合に、置換手段が、当該情報を、個人を特定不可能な情報に置換するので、収集したデータの一つ一つに対して人の目を通さずに匿名化処理を行うことができる。
したがって、収集したデータの匿名化処理を効率的かつ確実に行うことが可能となる。
また、収集したデータに含まれた情報が、ホワイトリスト151に掲載された候補及びブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、リスト追加手段によって、ホワイトリスト151及びブラックリスト152のいずれかの候補として追加掲載できるので、以後の判断手段による判断の精度を高めることができる。
【0008】
請求項2に記載の発明は、例えば図4,図5に示すように、請求項1に記載の匿名化システムにおいて、
前記収集したデータに含まれた情報が前記ブラックリスト152に掲載された候補のいずれかと一致し、かつ前記置換手段によって置換不可能の場合に、前記ブラックリスト152に掲載された候補のいずれかと一致する前記情報を削除する第一削除手段(第一削除プログラム164)を更に備えることを特徴とする。
前記収集したデータに含まれた情報が前記ブラックリスト152に掲載された候補のいずれかと一致し、かつ前記置換手段によって置換不可能の場合に、前記ブラックリスト152に掲載された候補のいずれかと一致する前記情報を削除する第一削除手段(第一削除プログラム164)を更に備えることを特徴とする。
【0009】
請求項2に記載の発明によれば、収集したデータの一つ一つに対して人の目を通さずに、ブラックリスト152に掲載された候補のいずれかと一致し、かつ置換手段によって置換不可能とされた情報を、第一削除手段によって削除できるので、全体的な処理の簡素化を図ることができ、匿名化処理の効率を上げることができる。
【0012】
請求項3に記載の発明は、例えば図4~図6に示すように、請求項1又は2に記載の匿名化システムにおいて、
前記収集したデータに含まれた情報が、前記ホワイトリスト151に掲載された候補及び前記ブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を削除する第二削除手段(第二削除プログラム166)を更に備えることを特徴とする。
前記収集したデータに含まれた情報が、前記ホワイトリスト151に掲載された候補及び前記ブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を削除する第二削除手段(第二削除プログラム166)を更に備えることを特徴とする。
【0013】
請求項3に記載の発明によれば、収集したデータに含まれた情報が、ホワイトリスト151に掲載された候補及びブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、第二削除手段によって削除できるので、全体的な処理の簡素化を図ることができ、匿名化処理の効率を上げることができる。
【0014】
請求項4に記載の発明は、例えば図1,図4,図5に示すように、請求項1~3のいずれか一項に記載の匿名化システムにおいて、
前記収集したデータを記憶するためのデータベース2を更に備えており、
前記データベース2に記憶される前記データは、前記収集したデータに含まれた情報が前記判断手段によって前記ホワイトリスト151に掲載された候補のいずれかと一致すると判断されたデータと、前記収集したデータに含まれた情報が前記置換手段によって前記個人を特定不可能な情報に置換されたデータであることを特徴とする。
前記収集したデータを記憶するためのデータベース2を更に備えており、
前記データベース2に記憶される前記データは、前記収集したデータに含まれた情報が前記判断手段によって前記ホワイトリスト151に掲載された候補のいずれかと一致すると判断されたデータと、前記収集したデータに含まれた情報が前記置換手段によって前記個人を特定不可能な情報に置換されたデータであることを特徴とする。
【0015】
請求項4に記載の発明によれば、データベース2に対し、収集したデータに含まれた情報が判断手段によってホワイトリスト151に掲載された候補のいずれかと一致すると判断されたデータと、収集したデータに含まれた情報が置換手段によって個人を特定不可能な情報に置換されたデータと、を記憶できるので、膨大な数のデータを収集及び分析することが可能となり、収集したデータを利活用しやすい。
【0016】
請求項5に記載の発明は、例えば図1,図2に示すように、請求項1~4のいずれか一項に記載の匿名化システムにおいて、
前記データ収集元は、複数のユーザからデータを収集するために構築されたデータ収集ネットワークであることを特徴とする。
前記データ収集元は、複数のユーザからデータを収集するために構築されたデータ収集ネットワークであることを特徴とする。
【0017】
請求項5に記載の発明によれば、データ収集元は、複数のユーザU(U1,U2,U3)からデータを収集するために構築されたデータ収集ネットワークであるため、複数のユーザU(U1,U2,U3)からデータを収集することができる。これにより、膨大な数のデータを収集することが可能となる。
【0018】
請求項6に記載の発明は、例えば図1~図4に示すように、請求項5に記載の匿名化システムにおいて、
前記収集したデータの中には、前記複数のユーザU(U1,U2,U3)によって任意に設定変更可能な情報が含まれ、当該任意に設定変更可能な情報が、前記判断手段による判断の対象となっていることを特徴とする。
前記収集したデータの中には、前記複数のユーザU(U1,U2,U3)によって任意に設定変更可能な情報が含まれ、当該任意に設定変更可能な情報が、前記判断手段による判断の対象となっていることを特徴とする。
【0019】
請求項6に記載の発明によれば、収集したデータの中には、複数のユーザU(U1,U2,U3)によって任意に設定変更可能な情報が含まれ、当該任意に設定変更可能な情報が、判断手段による判断の対象となっているので、複数のユーザU(U1,U2,U3)によって任意に設定変更された情報でも、ブラックリスト152に掲載された個人を特定可能な情報の候補に一致するか否かの判断を容易に行うことができる。
【発明の効果】
【0020】
本発明によれば、収集したデータの匿名化処理を効率的かつ確実に行うことができる。
【図面の簡単な説明】
【0021】
【図1】匿名化システムを含むデータ収集ネットワークの概要を示す図である。
【図2】匿名化システムと接続されたネットワークサービスの構成を示すブロック図である。
【図3】住宅の消費電力における計測データの一例を示す図である。
【図4】匿名化システムの構成を示すブロック図である。
【図5】匿名化処理の流れを示すフローチャートである。
【図6】匿名化処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0022】
以下、図面を参照して本発明の実施の形態について説明する。ただし、以下に述べる実施形態には、本発明を実施するために技術的に好ましい種々の限定が付されているが、本発明の技術的範囲を以下の実施形態及び図示例に限定するものではない。
【0023】
図1はデータ収集ネットワークの概要を示しており、符号1は、本実施形態における匿名化システムを構成する演算処理装置を示す。また、符号2は、同じく匿名化システムを構成するデータベースを示しており、これら演算処理装置1とデータベース2は互いにデータ通信可能に接続されている。また、データ収集ネットワークには、データ収集に同意する多数のユーザU(U1,U2,U3)が組み込まれており、本実施形態における匿名化システムは、通信ネットワークNを介してユーザUが使用する通信機器(後述するエネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5b)とデータ通信可能に接続されている。つまり、データ収集ネットワークは、匿名化システムにおけるデータ収集元である。
【0024】
ユーザUは、サービス提供者が提供するサービスを受ける人である。データ収集ネットワークは、サービス提供者又はサービス提供者から委託された業者によって構築されたデータ収集用のネットワークであり、ユーザUから、サービスに係る情報が含まれたデータを収集する。収集したデータはデータベース2に記憶され、サービス提供者によって利活用される。すなわち、ビッグデータとして用いることができる。
【0025】
なお、通信ネットワークNは、電話回線網、ISDN回線網、光ファイバー、移動体通信網、通信衛星回線、CATV回線網、その他の専用線等の各種通信回線網と、それらを接続するインターネットサービスプロバイダ(すなわち、インターネット)等を含んでいてもよい。また、LAN(Local Area Network)やWAN(Wide Area Network)、WiFi(Wireless Fidelity)、Bluetooth(登録商標)、NFC(Near Field Communication)等の様々な通信網が互いに通信可能に接続された集合的な通信網であってもよい。また、接続の形態について、有線、無線及び有線と無線の混在を問わない。
【0026】
匿名化システムは、データ収集ネットワークに組み込まれ、サービス提供者又はサービス提供者から委託された業者によって管理されている(以下、管理者によって管理されているものとする)。そして、匿名化システムは、収集したデータに個人を特定可能な情報が含まれる場合に、その情報の匿名化処理を行う。
【0027】
サービス提供者が提供するサービスは、本実施形態においては、図1~図3に示すように、各ユーザUが居住する住宅3(4,5)における消費電力量(太陽光発電装置PVによる発電量も含むものとする。)を、分岐する複数の回路ごとに計測できるようにし、その計測結果を、住宅3(4,5)内に設けられたエネルギー表示器3a(4a,5a)でも、ユーザUが使用するスマートフォンなどの携帯情報端末3b(4b,5b)でも共通して表示できる機能を有したネットワークサービスである。つまり、各住宅3(4,5)には、複数の回路ごとの消費電力を計測する計測部3c(4c,5c)が設けられ、計測部3c(4c,5c)で計測されたデータMDが、計測データ記憶部に記憶される。当該計測データ記憶部は、住宅3(4,5)内又は住宅3(4,5)外に設けられたサービス用演算処理装置(図2のホームゲートウェイ装置HGWやセンターサーバー6を指す。)が有している。そして、計測されたデータMDが計測データ記憶部に記憶される際に、計測部3c(4c,5c)ごとにデータ項目名称DINが付与され、当該データ項目名称DINごとにデータMDが記憶される。
当該サービスでは、複数の回路ごとの計測結果をエネルギー表示器3a(4a,5a)や携帯情報端末3b(4b,5b)で表示するにあたって、ユーザUが認識しやすいように、分岐する複数の回路ごとに任意の名称を付与できるようになっている。これを実現するために、エネルギー表示器3a(4a,5a)や携帯情報端末3b(4b,5b)には、図示しない名称付与入力部(タッチパネル、各種入力ボタン等)が備えられている。名称付与入力部から名称の付与が入力されると、サービス用演算処理装置が有する制御部によって、データ項目名称DINが任意の名称に変更される制御が実行される。つまり、ユーザUによって任意に名付けが行われ、サービス提供者は、それを一つの情報として取り扱うことができるようになっている。要するに、サービス提供者は、ユーザUによって任意に設定変更可能な情報(分岐する複数の回路ごとに付与された任意の名称)が含まれたデータの収集及び分析が可能となっている。
なお、図3は、一つの住宅(例えば住宅3)での所定の時間ごとに計測された複数の回路ごとの計測結果(データDM)が、データ項目名称DINごとに表示されたことを表す図である。本実施形態においては、名称付与入力部からの入力によって、「全体使用」「全体売電」・・・「子供部屋」・・・と設定されているデータ項目名称DINを、ユーザUが任意で変更できることになる。サービス提供者は、このように名称が付与されたデータを収集する。
当該サービスでは、複数の回路ごとの計測結果をエネルギー表示器3a(4a,5a)や携帯情報端末3b(4b,5b)で表示するにあたって、ユーザUが認識しやすいように、分岐する複数の回路ごとに任意の名称を付与できるようになっている。これを実現するために、エネルギー表示器3a(4a,5a)や携帯情報端末3b(4b,5b)には、図示しない名称付与入力部(タッチパネル、各種入力ボタン等)が備えられている。名称付与入力部から名称の付与が入力されると、サービス用演算処理装置が有する制御部によって、データ項目名称DINが任意の名称に変更される制御が実行される。つまり、ユーザUによって任意に名付けが行われ、サービス提供者は、それを一つの情報として取り扱うことができるようになっている。要するに、サービス提供者は、ユーザUによって任意に設定変更可能な情報(分岐する複数の回路ごとに付与された任意の名称)が含まれたデータの収集及び分析が可能となっている。
なお、図3は、一つの住宅(例えば住宅3)での所定の時間ごとに計測された複数の回路ごとの計測結果(データDM)が、データ項目名称DINごとに表示されたことを表す図である。本実施形態においては、名称付与入力部からの入力によって、「全体使用」「全体売電」・・・「子供部屋」・・・と設定されているデータ項目名称DINを、ユーザUが任意で変更できることになる。サービス提供者は、このように名称が付与されたデータを収集する。
【0028】
なお、データ収集ネットワークによってユーザUから収集するデータはいくつでもよいし、ユーザUから収集するデータには、ユーザによって任意に設定変更可能な情報が少なくとも含まれるものとし、サービス提供者が提供するサービスに係るその他の情報が含まれてもよい。
また、匿名化システムによって匿名化されるべき情報が含まれるデータと、例えばユーザUを特定するための情報(例えばアカウント情報など)が含まれるデータは、別々に取り扱われることが望ましい。
さらに、匿名化システムによって匿名化されるべき情報が含まれるデータであっても、データベース2におけるデータの整理に必要な情報であれば、その情報を、匿名化システムによって匿名化されるべき情報が含まれるデータに適宜紐づけしてもよい。
また、匿名化システムによって匿名化されるべき情報が含まれるデータと、例えばユーザUを特定するための情報(例えばアカウント情報など)が含まれるデータは、別々に取り扱われることが望ましい。
さらに、匿名化システムによって匿名化されるべき情報が含まれるデータであっても、データベース2におけるデータの整理に必要な情報であれば、その情報を、匿名化システムによって匿名化されるべき情報が含まれるデータに適宜紐づけしてもよい。
【0029】
本実施形態の匿名化システムを構成する演算処理装置1は、図4に示すように、制御部10と、入力部11と、表示部12と、通信部13と、記憶部14を有するコンピューターである。例えば、携帯電話機(例えば、スマートフォン、フィーチャーフォン)、PDA(Personal Digital Assistant)、デスクトップ型パーソナルコンピューター、ラップトップ型パーソナルコンピューター(ノート型パーソナルコンピューター)、パームトップ型パーソナルコンピューター、タブレット型パーソナルコンピューター等である。
【0030】
制御部10は、記憶部14内に格納されている制御用プログラム161~166に基づいて記憶部14等を含む演算処理装置1全体の制御を行う。より具体的に説明すると、制御部10は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)を備え、当該制御部10による制御に基づいて、匿名化システムを構成する各種手段を実行することができる。すなわち、記憶部14に記憶された各種の制御用プログラム161~166を実行することができる。
【0031】
入力部11は、匿名化システムに対して各種指示を入力するためのものである。より具体的に説明すると、文字、数値等を入力するためのデータ入力キーや、データの選択、上下左右移動キー、各種機能キー等を適宜備える。また、マウスやキーボード等の入力装置が適宜採用される。制御部10は、入力部11から入力された信号に従って所定の動作を各部に実行させることができる。
【0032】
表示部12は、演算処理装置1における表示装置であり、例えば液晶ディスプレイや有機EL表示パネル等が採用される。本実施形態における表示部12は、制御部10による表示制御信号に基づいて表示面に表示画面を表示する。
【0033】
通信部13は、制御部10からの通信信号を受け入れ、通信ネットワークNにこの通信信号を送出する。また、通信部13は、通信ネットワークNからの通信信号を受け入れ、制御部10にこの通信信号を出力する。
この通信部13は、データベース2を含む匿名化システムを、データ収集ネットワークに接続する役割を担い、ユーザUが使用する通信機器、すなわちエネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bから送信されたデータを収集する収集手段として機能する。
なお、データ収集(データ送信)のタイミングは、エネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bに組み込まれたプログラムに基づくものでもよいし、エネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bに対してデータ送信の実行を指示する信号を送信するプログラムを演算処理装置1に採用してもよい。
この通信部13は、データベース2を含む匿名化システムを、データ収集ネットワークに接続する役割を担い、ユーザUが使用する通信機器、すなわちエネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bから送信されたデータを収集する収集手段として機能する。
なお、データ収集(データ送信)のタイミングは、エネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bに組み込まれたプログラムに基づくものでもよいし、エネルギー表示器3a,4a,5a及び携帯情報端末3b,4b,5bに対してデータ送信の実行を指示する信号を送信するプログラムを演算処理装置1に採用してもよい。
【0034】
記憶部14は、例えば、HDD(Hard Disc Drive)やフラッシュメモリー等の大容量記憶媒体によって構成されており、匿名化システムにおける各部の動作に必要な各種データ151,152や各種の制御用プログラム161~166を記憶している。
匿名化システムに必要な各種データとしては、ホワイトリストデータ151、ブラックリストデータ152が挙げられる。これらのデータ151,152は、記憶部14内のデータ記憶部15に記憶されている。
匿名化システムに必要な各種の制御用プログラムとしては、判断プログラム161、通知プログラム162、置換プログラム163、第一削除プログラム164、リスト追加プログラム165、第二削除プログラム166が挙げられる。これらのプログラム161~166は、記憶部14内のプログラム記憶部16に記憶されている。
匿名化システムに必要な各種データとしては、ホワイトリストデータ151、ブラックリストデータ152が挙げられる。これらのデータ151,152は、記憶部14内のデータ記憶部15に記憶されている。
匿名化システムに必要な各種の制御用プログラムとしては、判断プログラム161、通知プログラム162、置換プログラム163、第一削除プログラム164、リスト追加プログラム165、第二削除プログラム166が挙げられる。これらのプログラム161~166は、記憶部14内のプログラム記憶部16に記憶されている。
【0035】
ホワイトリストデータ151(ホワイトリスト151)は、個人を特定不可能な情報の候補が掲載されたものであり、制御部10が判断プログラム161を実行し、収集したデータに個人を特定可能な情報が含まれるか否かを判断する際の判断基準となる。本実施形態におけるホワイトリストデータ151は、上記のネットワークサービスにおいて、ユーザUによって任意に変更することが可能な複数の回路の名称として、個人を特定不可能な情報の候補が掲載されたものである。
このようなホワイトリストデータ151に掲載された、個人を特定不可能な情報の候補としては、例えば、「全体使用」、「全体売電」、「全体買電」、「洋室」、「和室」、「台所」、「居間」、「浴室」、「洗面所」、「食堂」、「ホール」、「トイレ」、「納戸」、「洋室テレビ」、「和室テレビ」、「洋室エアコン」、「和室エアコン」、「食堂エアコン」、「居間照明器具」、「台所照明器具」、「食堂照明器具」、「台所冷蔵庫」、「IHコンロ」、「エアコン」、「床暖房」、「トイレ洗浄暖房便座」、「トイレコンセント」、「充電」、「放電」、「電気自動車」、「その他」等、が挙げられる。すなわち、情報として一般化し得るものが候補となっている。ホワイトリストデータ151に掲載された候補には、いずれも個人を特定し得る情報は含まれておらず、ビッグデータとして取り扱いやすい。
なお、ホワイトリストデータ151に掲載された、個人を特定不可能な情報の候補は、以上のものに限られるものではない。
このようなホワイトリストデータ151に掲載された、個人を特定不可能な情報の候補としては、例えば、「全体使用」、「全体売電」、「全体買電」、「洋室」、「和室」、「台所」、「居間」、「浴室」、「洗面所」、「食堂」、「ホール」、「トイレ」、「納戸」、「洋室テレビ」、「和室テレビ」、「洋室エアコン」、「和室エアコン」、「食堂エアコン」、「居間照明器具」、「台所照明器具」、「食堂照明器具」、「台所冷蔵庫」、「IHコンロ」、「エアコン」、「床暖房」、「トイレ洗浄暖房便座」、「トイレコンセント」、「充電」、「放電」、「電気自動車」、「その他」等、が挙げられる。すなわち、情報として一般化し得るものが候補となっている。ホワイトリストデータ151に掲載された候補には、いずれも個人を特定し得る情報は含まれておらず、ビッグデータとして取り扱いやすい。
なお、ホワイトリストデータ151に掲載された、個人を特定不可能な情報の候補は、以上のものに限られるものではない。
【0036】
ブラックリストデータ152(ブラックリスト152)は、個人を特定可能な情報の候補が掲載されたものであり、制御部10が判断プログラム161を実行し、収集したデータに個人を特定可能な情報が含まれるか否かを判断する際の判断基準となる。本実施形態におけるブラックリストデータ152は、上記のネットワークサービスにおいて、ユーザUによって任意に変更することが可能な複数の回路の名称として、個人を特定可能な情報の候補が掲載されたものである。
このようなブラックリストデータ152に掲載された、個人を特定可能な情報の候補としては、例えば、「子供部屋」、「子供室」、「2階洋室」、「2階和室」、「3階洋室」、「3階和室」、「寝室」、「居間1,2階」、「子供部屋テレビ」、「寝室テレビ」、「子供部屋エアコン」、「寝室エアコン」、「1階洋室」「名前(例えば太郎、花子等)」、「苗字(例えば佐藤、鈴木等)」、「呼称(例えば父、母、パパ、ママ等)」、「北側洋室」、「南側和室」、「遊び部屋」、「専用機器」、「井戸」等、が挙げられる。また、例えば「太郎部屋」や「パパ部屋」等のように、「名前+部屋」や「呼称+部屋」のように組み合わされたパターンも挙げられる。すなわち、子供の有無、住宅の階層、方角、ユーザUの苗字・名前、ユーザUの呼称(呼び名)、用途のわかるもの、上記の井戸のような特殊なもの等が候補となっている。ブラックリストデータ152に掲載された候補には、いずれも個人を特定し得る情報が含まれており、ビッグデータとしては取り扱えない。
なお、ブラックリストデータ152に掲載された、個人を特定可能な情報の候補は、以上のものに限られるものではない。
このようなブラックリストデータ152に掲載された、個人を特定可能な情報の候補としては、例えば、「子供部屋」、「子供室」、「2階洋室」、「2階和室」、「3階洋室」、「3階和室」、「寝室」、「居間1,2階」、「子供部屋テレビ」、「寝室テレビ」、「子供部屋エアコン」、「寝室エアコン」、「1階洋室」「名前(例えば太郎、花子等)」、「苗字(例えば佐藤、鈴木等)」、「呼称(例えば父、母、パパ、ママ等)」、「北側洋室」、「南側和室」、「遊び部屋」、「専用機器」、「井戸」等、が挙げられる。また、例えば「太郎部屋」や「パパ部屋」等のように、「名前+部屋」や「呼称+部屋」のように組み合わされたパターンも挙げられる。すなわち、子供の有無、住宅の階層、方角、ユーザUの苗字・名前、ユーザUの呼称(呼び名)、用途のわかるもの、上記の井戸のような特殊なもの等が候補となっている。ブラックリストデータ152に掲載された候補には、いずれも個人を特定し得る情報が含まれており、ビッグデータとしては取り扱えない。
なお、ブラックリストデータ152に掲載された、個人を特定可能な情報の候補は、以上のものに限られるものではない。
【0037】
判断プログラム161は、収集したデータの中に個人を特定可能な情報が含まれるか否かを判断するためのプログラムである。
より詳細に説明すると、判断プログラム161は制御部10によって実行され、これにより、収集したデータ(に含まれた任意に設定変更可能な情報)とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合し、ホワイトリストデータに掲載された候補のいずれかと一致する情報があるか、ブラックリストに掲載された候補のいずれかと一致する情報があるかを判断する。
すなわち、判断プログラム161は、制御部10との協働により判断手段として機能することになる。
なお、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した結果、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストに掲載された候補のいずれかと一致すると判断された場合、そのデータはデータベース2に送信されて記憶される。
より詳細に説明すると、判断プログラム161は制御部10によって実行され、これにより、収集したデータ(に含まれた任意に設定変更可能な情報)とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合し、ホワイトリストデータに掲載された候補のいずれかと一致する情報があるか、ブラックリストに掲載された候補のいずれかと一致する情報があるかを判断する。
すなわち、判断プログラム161は、制御部10との協働により判断手段として機能することになる。
なお、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した結果、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストに掲載された候補のいずれかと一致すると判断された場合、そのデータはデータベース2に送信されて記憶される。
【0038】
通知プログラム162は、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した際に、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151にも、ブラックリストデータ152にも掲載されていなかった場合に、その旨を管理者に通知するためのプログラムである。
管理者が匿名化システムの管理に使用する情報端末が、演算処理装置1そのものである場合は、通知プログラム162が制御部10によって実行されることで、通知を表示部12に表示させることができる。演算処理装置1が音声出力部を備える場合は、その音声出力部から通知音を発するようにしてもよい。
管理者が、通信ネットワークNを介して演算処理装置1とデータ通信可能に接続された情報端末(図示省略)を日常的に使用し、その情報端末が通知の送信先として予め演算処理装置1に登録されていれば、当該情報端末に通知を送信することができる。
すなわち、通知プログラム162は、制御部10との協働により通知手段として機能することになる。
管理者が匿名化システムの管理に使用する情報端末が、演算処理装置1そのものである場合は、通知プログラム162が制御部10によって実行されることで、通知を表示部12に表示させることができる。演算処理装置1が音声出力部を備える場合は、その音声出力部から通知音を発するようにしてもよい。
管理者が、通信ネットワークNを介して演算処理装置1とデータ通信可能に接続された情報端末(図示省略)を日常的に使用し、その情報端末が通知の送信先として予め演算処理装置1に登録されていれば、当該情報端末に通知を送信することができる。
すなわち、通知プログラム162は、制御部10との協働により通知手段として機能することになる。
【0039】
置換プログラム163は、判断手段によって、収集したデータとリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した結果、収集したデータの中に、ブラックリストデータ152に掲載された候補のいずれかと一致した情報(ユーザUによって任意に設定変更可能な情報)がある場合に、当該情報を、個人を特定不可能な情報に置換するためのプログラムである。
より詳細に説明すると、置換プログラム163は制御部10によって実行され、これにより、個人を特定可能な情報である任意に設定変更可能な情報を、個人を特定不可能な情報に置換する。
具体的には、例えば「子供部屋」や「子供室」の場合は、子供の有無を秘匿する必要があるため、「洋室」や「和室」等に置換される。「寝室」や「遊び部屋」等のように用途を示す場合にも「洋室」や「和室」等に置換される。「2階洋室」や「3階洋室」の場合は、住宅の階層を無用に表す必要がないため、「洋室」や「和室」等に置換される。「北側洋室」や「南側和室」の場合も、住宅の方角を無用に表す必要がないため、「洋室」や「和室」等に置換される。「名前+部屋」や「呼称+部屋」のような組み合わせのパターンの場合は、「名前」や「呼称」を秘匿する必要があるため、「洋室」や「和室」等に置換される。「井戸」のような特殊な場合は「その他」に置換される。「名前」のみ、「呼称」のみの場合は、「名前」や「呼称」を秘匿する必要があるとともに、部屋であるかも不明であるため、置換不可能な情報として扱われる。
すなわち、このような置換プログラム163は、制御部10との協働により置換手段として機能することになる。そして、個人を特定可能な情報である任意に設定変更可能な情報が、個人を特定不可能な情報に置換されたデータは、データベース2に送信されて記憶される。
より詳細に説明すると、置換プログラム163は制御部10によって実行され、これにより、個人を特定可能な情報である任意に設定変更可能な情報を、個人を特定不可能な情報に置換する。
具体的には、例えば「子供部屋」や「子供室」の場合は、子供の有無を秘匿する必要があるため、「洋室」や「和室」等に置換される。「寝室」や「遊び部屋」等のように用途を示す場合にも「洋室」や「和室」等に置換される。「2階洋室」や「3階洋室」の場合は、住宅の階層を無用に表す必要がないため、「洋室」や「和室」等に置換される。「北側洋室」や「南側和室」の場合も、住宅の方角を無用に表す必要がないため、「洋室」や「和室」等に置換される。「名前+部屋」や「呼称+部屋」のような組み合わせのパターンの場合は、「名前」や「呼称」を秘匿する必要があるため、「洋室」や「和室」等に置換される。「井戸」のような特殊な場合は「その他」に置換される。「名前」のみ、「呼称」のみの場合は、「名前」や「呼称」を秘匿する必要があるとともに、部屋であるかも不明であるため、置換不可能な情報として扱われる。
すなわち、このような置換プログラム163は、制御部10との協働により置換手段として機能することになる。そして、個人を特定可能な情報である任意に設定変更可能な情報が、個人を特定不可能な情報に置換されたデータは、データベース2に送信されて記憶される。
【0040】
第一削除プログラム164は、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した結果、収集したデータに含まれた任意に設定変更可能な情報が、ブラックリストデータ152に掲載された候補のいずれかと一致し、かつ置換手段によって置換不可能の場合に、収集したデータに含まれた任意に設定変更可能な情報を削除するためのプログラムである。
より詳細に説明すると、第一削除プログラム164は制御部10によって実行され、これにより、収集したデータに含まれた任意に設定変更可能な情報が、ブラックリストデータ152に掲載された候補のいずれかと一致し、かつ置換手段によって置換不可能な情報を削除する。具体的には、上記のように、「名前」のみ、「呼称」のみの場合は置換不可能な情報として扱われるため、それらの情報は削除される。
すなわち、第一削除プログラム164は、制御部10との協働により第一削除手段として機能することになる。
より詳細に説明すると、第一削除プログラム164は制御部10によって実行され、これにより、収集したデータに含まれた任意に設定変更可能な情報が、ブラックリストデータ152に掲載された候補のいずれかと一致し、かつ置換手段によって置換不可能な情報を削除する。具体的には、上記のように、「名前」のみ、「呼称」のみの場合は置換不可能な情報として扱われるため、それらの情報は削除される。
すなわち、第一削除プログラム164は、制御部10との協働により第一削除手段として機能することになる。
【0041】
リスト追加プログラム165は、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報とリスト(ホワイトリストデータ151、ブラックリストデータ152)内の情報とを照合した結果、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない場合に、当該任意に設定変更可能な情報を、ホワイトリストデータ151及びブラックリストデータ152のいずれかの候補として追加掲載するためのプログラムである(図6参照)。
より詳細に説明すると、リスト追加プログラム165は制御部10によって実行され、これにより、演算処理装置1における表示部12に、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない上記の任意に設定変更可能な情報が、匿名化を要するか否かを管理者に選択させる画面を表示する。管理者が、当該情報が匿名化を要すると判断した場合には、リスト追加プログラム165は、後述する次の画面へと移行する。一方、当該情報が匿名化を必要としない場合には、リスト追加プログラム165は、当該情報を、個人を特定不可能な情報の候補としてホワイトリストデータ151に追加掲載する。
また、リスト追加プログラム165は、管理者によって匿名化を要すると判断された場合に、当該匿名化を要する情報が、一般化が可能であるか否かを管理者に選択させる画面(上記の次の画面を指す)を表示する。管理者が、当該情報が一般化が可能であると判断した場合には、リスト追加プログラム165は、当該情報を、個人を特定可能な情報の候補としてブラックリストデータ152に追加掲載する。
なお、このようなリスト追加プログラム165は、通知プログラム162による通知手段の動作後に制御部10によって実行される。
すなわち、リスト追加プログラム165は、制御部10との協働によりリスト追加手段として機能することになる。
より詳細に説明すると、リスト追加プログラム165は制御部10によって実行され、これにより、演算処理装置1における表示部12に、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない上記の任意に設定変更可能な情報が、匿名化を要するか否かを管理者に選択させる画面を表示する。管理者が、当該情報が匿名化を要すると判断した場合には、リスト追加プログラム165は、後述する次の画面へと移行する。一方、当該情報が匿名化を必要としない場合には、リスト追加プログラム165は、当該情報を、個人を特定不可能な情報の候補としてホワイトリストデータ151に追加掲載する。
また、リスト追加プログラム165は、管理者によって匿名化を要すると判断された場合に、当該匿名化を要する情報が、一般化が可能であるか否かを管理者に選択させる画面(上記の次の画面を指す)を表示する。管理者が、当該情報が一般化が可能であると判断した場合には、リスト追加プログラム165は、当該情報を、個人を特定可能な情報の候補としてブラックリストデータ152に追加掲載する。
なお、このようなリスト追加プログラム165は、通知プログラム162による通知手段の動作後に制御部10によって実行される。
すなわち、リスト追加プログラム165は、制御部10との協働によりリスト追加手段として機能することになる。
【0042】
第二削除プログラム166は、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない場合に、当該任意に設定変更可能な情報を削除するためのプログラムである(図6参照)。
より詳細に説明すると、第二削除プログラム166は制御部10によって実行され、これにより、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない任意に設定変更可能な情報を削除する。
なお、本実施形態における第二削除プログラム166は、リスト追加プログラム165によるリスト追加手段の動作後に制御部10によって実行され、管理者によって匿名化を要すると判断された情報が、更に管理者によって一般化が不可能であると判断された場合に、当該情報を削除する。
すなわち、第二削除プログラム166は、制御部10との協働により第二削除手段として機能することになる。
より詳細に説明すると、第二削除プログラム166は制御部10によって実行され、これにより、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない任意に設定変更可能な情報を削除する。
なお、本実施形態における第二削除プログラム166は、リスト追加プログラム165によるリスト追加手段の動作後に制御部10によって実行され、管理者によって匿名化を要すると判断された情報が、更に管理者によって一般化が不可能であると判断された場合に、当該情報を削除する。
すなわち、第二削除プログラム166は、制御部10との協働により第二削除手段として機能することになる。
【0043】
ただし、第二削除プログラム166の構成は、上記に限られるものではなく、通知プログラム162による通知手段の動作後に制御部10によって実行され、上記のリスト追加手段によるリスト追加掲載の手順を踏まずに、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない任意に設定変更可能な情報を削除してもよい(すなわち、後述するステップS1又はS2から、ステップS12まで直接進んでもよい。)。この場合の通知プログラム162による通知は、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151にも、ブラックリストデータ152にも掲載されていなかった旨の通知だけでなく、当該情報が第二削除プログラム166によって削除された旨を通知する内容が追加されたものであってもよい。
【0044】
匿名化システムは、以上のように構成されており、続いて、匿名化システムによる匿名化処理の流れを説明する。
【0045】
まず、図5に示すように、判断手段(判断プログラム161)によって、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151とブラックリストデータ152のいずれかに掲載された候補と一致するか否かを判断する(ステップS1)。
【0046】
収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151にも、ブラックリストデータ152にも掲載されていなかった場合は、その旨を、通知手段(通知プログラム162)によって管理者に通知する(ステップS2)。
【0047】
収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151とブラックリストデータ152のいずれかに掲載された候補と一致する場合は、判断手段(判断プログラム161)によって、ホワイトリストデータ151に掲載された候補と一致するか、ブラックリストデータ152に掲載された候補と一致するか、を判断する(ステップS3)。
【0048】
ステップS3において、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151に掲載された候補と一致する(すなわち、個人を特定不可能な情報である)と判断された場合は、ステップS7へと移行する。
【0049】
ステップS3において、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報が、ブラックリストデータ152に掲載された候補と一致する(すなわち、個人を特定可能な情報である)と判断された場合は、当該情報を置換するか、削除するかを判断する(ステップS4)。
【0050】
ステップS4での判断は、収集したデータに含まれた任意に設定変更可能な情報を、置換手段(置換プログラム163)によって、個人を特定不可能な情報に置換することが可能か否か、を判断基準としており、置換不可能である場合は、第一削除手段(第一削除プログラム164)によって削除する(ステップS5)。
一方、ステップS4での判断において、収集したデータに含まれた任意に設定変更可能な情報が、置換手段によって置換可能である場合は、第一削除手段によって削除せずに、置換手段によって個人を特定不可能な情報に置換する(ステップS6)。
一方、ステップS4での判断において、収集したデータに含まれた任意に設定変更可能な情報が、置換手段によって置換可能である場合は、第一削除手段によって削除せずに、置換手段によって個人を特定不可能な情報に置換する(ステップS6)。
【0051】
ステップS6において、収集したデータに含まれた任意に設定変更可能な情報が、置換手段によって、個人を特定不可能な情報に置換された場合は、当該情報はデータベース2へと送信されて記憶される(ステップS7)。
さらに、ステップS3において、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151に掲載された候補と一致すると判断された場合も、当該情報はデータベース2へと送信されて記憶される(ステップS7)。
さらに、ステップS3において、判断手段によって、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151に掲載された候補と一致すると判断された場合も、当該情報はデータベース2へと送信されて記憶される(ステップS7)。
【0052】
また、ステップS2において、収集したデータに含まれた任意に設定変更可能な情報が、ホワイトリストデータ151にも、ブラックリストデータ152にも掲載されておらず、その旨の通知が通知手段によって管理者に送られた場合は、図6に示すように、収集したデータに含まれた任意に設定変更可能な情報が、匿名化を要するか否かを管理者が判断する(ステップS8)。すなわち、リスト追加手段(リスト追加プログラム165)によって、演算処理装置1における表示部12に、匿名化を要するか否かを管理者に選択させる画面を表示する。
なお、管理者は、表示部12に表示された選択画面での、匿名化要否の選択を、入力部11によって行い、自身の選択をシステムに反映させる。
なお、管理者は、表示部12に表示された選択画面での、匿名化要否の選択を、入力部11によって行い、自身の選択をシステムに反映させる。
【0053】
管理者が匿名化を必要としないと選択した場合は、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない任意に設定変更可能な情報を、リスト追加手段によって、個人を特定不可能な情報の候補としてホワイトリストデータ151に追加掲載する(ステップS9)。
【0054】
一方、管理者が匿名化を要すると選択した場合は、リスト追加手段(リスト追加プログラム165)によって、演算処理装置1における表示部12に、当該匿名化を要する情報が、一般化が可能であるか否かを管理者に選択させる画面を表示する(ステップS10)。
なお、管理者は、表示部12に表示された選択画面での、一般化可否の選択を、入力部11によって行い、自身の選択をシステムに反映させる。
なお、管理者は、表示部12に表示された選択画面での、一般化可否の選択を、入力部11によって行い、自身の選択をシステムに反映させる。
【0055】
管理者が一般化が可能であると選択した場合は、上記の匿名化を要すると選択された情報を、リスト追加手段によって、個人を特定可能な情報の候補としてブラックリストデータ152に追加掲載する(ステップS11)。
一方、管理者が一般化が不可能であると選択した場合は、上記の匿名化を要すると選択された情報を、第二削除手段(第二削除プログラム166)によって削除する(ステップS12)。
一方、管理者が一般化が不可能であると選択した場合は、上記の匿名化を要すると選択された情報を、第二削除手段(第二削除プログラム166)によって削除する(ステップS12)。
【0056】
以上のようにして、匿名化システムによる匿名化処理が行われる。このような流れであれば、ステップS及びステップSでの工程以外では、人の手が加わらない状態で匿名化処理を行うことができる。
【0057】
なお、上記のように、通知手段によって通知が行われた後に、第二削除手段(第二削除プログラム166)によって、ホワイトリストデータ151に掲載された候補及びブラックリストデータ152に掲載された候補のいずれにも一致しない任意に設定変更可能な情報を削除する場合は、ステップS8~S12は省略される。
【0058】
本実施の形態によれば、収集したデータの中に個人を特定可能な情報が含まれるか否かを判断する判断手段(判断プログラム161)が、収集したデータとリスト151,152内の情報とを照合し、ホワイトリスト151に掲載された候補のいずれかと一致する情報があるか、ブラックリスト152に掲載された候補のいずれかと一致する情報があるかを判断するので、収集したデータの一つ一つに対して人の目を通さずに、収集したデータに含まれた任意に設定変更可能な情報が、ブラックリスト152に掲載された個人を特定可能な情報の候補に一致するか否かの判断を行うことができる。
さらに、収集したデータの中に、判断手段(判断プログラム161)によってブラックリスト152に掲載された候補のいずれかと一致する情報があると判断された場合に、置換手段(置換プログラム163)が、当該情報を、個人を特定不可能な情報に置換するので、収集したデータの一つ一つに対して人の目を通さずに匿名化処理を行うことができる。
したがって、収集したデータの匿名化処理を効率的かつ確実に行うことが可能となる。
さらに、収集したデータの中に、判断手段(判断プログラム161)によってブラックリスト152に掲載された候補のいずれかと一致する情報があると判断された場合に、置換手段(置換プログラム163)が、当該情報を、個人を特定不可能な情報に置換するので、収集したデータの一つ一つに対して人の目を通さずに匿名化処理を行うことができる。
したがって、収集したデータの匿名化処理を効率的かつ確実に行うことが可能となる。
【0059】
また、収集したデータの一つ一つに対して人の目を通さずに、ブラックリスト152に掲載された候補のいずれかと一致し、かつ置換手段(置換プログラム163)によって置換不可能とされた情報を、第一削除手段(第一削除プログラム164)によって削除できるので、全体的な処理の簡素化を図ることができ、匿名化処理の効率を上げることができる。
【0060】
また、収集したデータに含まれた情報が、ホワイトリスト151に掲載された候補及びブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、リスト追加手段(リスト追加プログラム165)によって、ホワイトリスト151及びブラックリスト152のいずれかの候補として追加掲載できるので、以後の判断手段(判断プログラム161)による判断の精度を高めることができる。
【0061】
また、収集したデータに含まれた情報が、ホワイトリスト151に掲載された候補及びブラックリスト152に掲載された候補のいずれにも一致しない場合に、当該収集したデータに含まれた情報を、第二削除手段(第二削除プログラム166)によって削除できるので、全体的な処理の簡素化を図ることができ、匿名化処理の効率を上げることができる。
【0062】
また、データベース2に対し、収集したデータに含まれた情報が判断手段(判断プログラム161)によってホワイトリスト151に掲載された候補のいずれかと一致すると判断されたデータと、収集したデータに含まれた情報が置換手段(置換プログラム163)によって個人を特定不可能な情報に置換されたデータと、を記憶できるので、膨大な数のデータを収集及び分析することが可能となり、収集したデータを利活用しやすい。
【0063】
また、データ収集元は、複数のユーザU(U1,U2,U3)からデータを収集するために構築されたデータ収集ネットワークであるため、複数のユーザU(U1,U2,U3)からデータを収集することができる。これにより、膨大な数のデータを収集することが可能となる。
【0064】
また、収集したデータの中には、複数のユーザU(U1,U2,U3)によって任意に設定変更可能な情報が含まれ、当該任意に設定変更可能な情報が、判断手段(判断プログラム161)による判断の対象となっているので、複数のユーザU(U1,U2,U3)によって任意に設定変更された情報でも、ブラックリスト152に掲載された個人を特定可能な情報の候補に一致するか否かの判断を容易に行うことができる。
【0065】
なお、サービス提供者が提供するサービスは、本実施形態においては、各ユーザUが居住する住宅3,4,5における消費電力量に係るネットワークサービスとしたが、これに限られるものではなく、他の如何なるサービスであってもよい。
また、収集手段によって収集されるデータは、本実施形態においては、ユーザUによって任意に設定変更可能な情報が含まれたデータとしたが、ユーザUによって任意に設定変更することが不可能な情報が含まれたデータであってもよい。その場合、ユーザUによって任意に設定変更することが不可能な情報が含まれたデータの中に、個人を特定可能な情報が含まれるものとする。
また、収集手段によって収集されるデータは、本実施形態においては、ユーザUによって任意に設定変更可能な情報が含まれたデータとしたが、ユーザUによって任意に設定変更することが不可能な情報が含まれたデータであってもよい。その場合、ユーザUによって任意に設定変更することが不可能な情報が含まれたデータの中に、個人を特定可能な情報が含まれるものとする。
【符号の説明】
【0066】
1 演算処理装置
2 データベース
3 住宅
3a エネルギー表示器
3b 携帯情報端末
4 住宅
4a エネルギー表示器
4b 携帯情報端末
5 住宅
5a エネルギー表示器
5b 携帯情報端末
10 制御部
11 入力部
12 表示部
13 通信部
14 記憶部
15 データ記憶部
151 ホワイトリストデータ
152 ブラックリストデータ
16 プログラム記憶部
161 判断プログラム
162 通知プログラム
163 置換プログラム
164 第一削除プログラム
165 リスト追加プログラム
166 第二削除プログラム
U(U1,U2,U3) ユーザ
N 通信ネットワーク
2 データベース
3 住宅
3a エネルギー表示器
3b 携帯情報端末
4 住宅
4a エネルギー表示器
4b 携帯情報端末
5 住宅
5a エネルギー表示器
5b 携帯情報端末
10 制御部
11 入力部
12 表示部
13 通信部
14 記憶部
15 データ記憶部
151 ホワイトリストデータ
152 ブラックリストデータ
16 プログラム記憶部
161 判断プログラム
162 通知プログラム
163 置換プログラム
164 第一削除プログラム
165 リスト追加プログラム
166 第二削除プログラム
U(U1,U2,U3) ユーザ
N 通信ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】