(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-26
(45)【発行日】2024-05-09
(54)【発明の名称】移動データを匿名化するための方法
(51)【国際特許分類】
G08G 1/01 20060101AFI20240430BHJP
G08G 1/00 20060101ALI20240430BHJP
G08G 1/13 20060101ALI20240430BHJP
【FI】
G08G1/01 A
G08G1/00 A
G08G1/13
【請求項の数】
9
(21)【出願番号】P 2023526193
(86)(22)【出願日】2022-02-10
(65)【公表番号】
(43)【公表日】2023-10-13
(86)【国際出願番号】 EP2022053292
(87)【国際公開番号】W WO2022194459
(87)【国際公開日】2022-09-22
【審査請求日】2023-05-01
(31)【優先権主張番号】102021001378.6
(32)【優先日】2021-03-16
(33)【優先権主張国・地域又は機関】DE
【早期審査対象出願】
(73)【特許権者】
【識別番号】598051819
【氏名又は名称】メルセデス・ベンツ グループ アクチェンゲゼルシャフト
【氏名又は名称原語表記】Mercedes-Benz Group AG
【住所又は居所原語表記】Mercedesstrasse 120,70372 Stuttgart,Germany
(74)【代理人】
【識別番号】100090583
【弁理士】
【氏名又は名称】田中 清
(74)【代理人】
【識別番号】100098110
【弁理士】
【氏名又は名称】村山 みどり
(72)【発明者】
【氏名】ビクトル・フリーゼン
(72)【発明者】
【氏名】ミヒャ・コラー
(72)【発明者】
【氏名】ベンヤミーン・ネープ
(72)【発明者】
【氏名】フーベルト・レーボルン
【審査官】▲高▼木 真顕
(56)【参考文献】
【文献】特開2021-026522(JP,A)
【文献】特開2013-061351(JP,A)
【文献】特開2018-007049(JP,A)
【文献】独国特許出願公開第102019205033(DE,A1)
【文献】独国特許発明第102019201530(DE,B3)
【文献】米国特許出願公開第2012/0322458(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G08G 1/00 - 99/00
G06F 12/14
G06F 21/00 - 21/88
H04B 7/24 - 7/26
H04W 4/00 - 99/00
H04L 9/00 - 9/40
G01C 21/00 - 21/36
G09B 29/00 - 29/14
(57)【特許請求の範囲】
【請求項1】
位置測定装置が装備された車両(1、2)の移動データを匿名化するための方法であって、前記車両(1、2)が、バックエンドサーバ(3)との間、及び他の車両(2、1)との間で、データを送信かつ受信するための通信装置を有し、個別の時間及び位置に関係するデータセットの形態で移動データが収集され、前記バックエンドサーバ(3)に送信されるものであり、少なくとも一部のデータセットが少なくとも1つの他の車両(1、2)を介して間接的に送信され、及び/又は、少なくとも一部のデータセットにおける位置関係及び/又は時間関係が前記送信前にノイズ付与される、前記方法において、前記バックエンドサーバ(3)と接続している車両群の全ての車両(1、2)は、共通の共有車両証明書を有し、前記共有車両証明書から作成された署名は、前記データセットと共に直接、又は少なくとも1つの他の車両(1、2)を介して間接的に前記バックエンドサーバ(3)に送信されることを特徴とする、前記方法。
【請求項2】
前記データセットは、ルートのスタート地点までの近さに応じて、及び/又は目的地案内を伴う場合は前記ルートの計画された終着点までの近さに応じて、異なる強度でノイズ付与されることを特徴とする、請求項1に記載の方法。
【請求項3】
前記スタート地点及び/又は前記終着点、並びに特に前記スタート地点及び/又は前記終着点の空間的近傍で記録されたデータセットは、前記バックエンドサーバ(3)に送信されないことを特徴とする、請求項2に記載の方法。
【請求項4】
前記ノイズ付与が行われ、少なくとも一部のデータセットが少なくとも1つの他の車両(1、2)を介して間接的に送信される場合、前記ノイズ付与の形式及び強度は、関係する前記車両(1、2)間で調整して行われることを特徴とする請求項1から3のいずれか一項に記載の方法。
【請求項5】
車両(1、2)が時間的かつ空間的に互いに同じ地点(C)を走行して、データセットを1つの車両から他の車両(2、1)に送信する位置のデータセットは、その他の位置のデータセットよりも強くノイズ付与されることを特徴とする、請求項4に記載の方法。
【請求項6】
少なくとも一部のデータセットを、少なくとも1つの他の車両(1、2)を介して送信する場合、前記車両(1、2)は、前記データセットを交換し、その際に前記他の車両に送信したデータセットを削除し、自身のルートを、前記交換された前記他の車両のデータセットに基づき更新することを特徴とする、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記データセットは、時間的かつ空間的に互いに接近している車両(1、2)間で送信が行われることを特徴とする、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記データセットは、所定のパラメータ化可能な期間及び/又はデータセットの数に基づいて前記バックエンドサーバ(3)への送信が行われることを特徴とする、請求項1から7のいずれか一項に記載の方法。
【請求項9】
匿名化された移動データは、そのように匿名化されたものとしてマークされることを特徴とする、請求項1から8のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1のプリアンブルに詳細に規定された様式による、位置検出装置が装備された道路使用者の移動データを匿名化するための方法に関する。
【背景技術】
【0002】
公開出願である特許文献1は、車両対車両インターフェースを介して渋滞情報を提供するための装置、方法、及びコンピュータプログラムを記載している。その際、車両は、少なくとも車両の速度及び/又はその車両の周囲の車両から送信された渋滞警報を含む渋滞指標を検出する。したがって、車両は、対応するデータを互いに交換し、転送することができる。
【0003】
それと共に、一般的な従来技術から、車両群の車両が、例えば、インターネットを介してクラウドソリューションとして実現されたバックエンドサーバと周期的にデータを交換することが公知である。バックエンドサーバでも、直接的に又は下位システムにおいて、データセットを周期的に送信した車両の移動データから、目下の交通状況を復元することができる。これはさらに、交通量の制御に使用され、渋滞情報及び/又は渋滞の警報を含むことができる。
【0004】
典型的には、データセットをバックエンドサーバに送信する際に、車両が適切に、例えば、TLSクライアント証明書により識別される。その際、交通状況の復元の精度は、車両から送信されたデータセットの空間的分解能だけではなく時間的分解能にも依存する。
【0005】
しかし、特に車両のような道路使用者の移動データは、個人データとして考慮する必要があり、個人データは、例えば、バックエンドサーバの側で疑似匿名化又は匿名化すべきである。しかしながら、例えば、人工的な空間的及び/又は時間的な曖昧さ、又はランダムノイズを取り込むような通常の匿名化アプローチは、バックエンドの側で意図されるデータセットの使用に、特に交通状況の復元品質の観点で、不利に作用することがある。その際、これは、復元品質を高く保つために匿名化を断念するといった、まさに大きな欠点である。
【先行技術文献】
【特許文献】
【0006】
【文献】DE 10 2015 217 793 A1
【発明の概要】
【発明が解決しようとする課題】
【0007】
したがって、本発明の課題は、匿名化が保証され、かつデータの評価の際に高品質を達成することができる、請求項1のプリアンブルに記載の移動データを匿名化するための方法を提供することである。
【課題を解決するための手段】
【0008】
本発明によれば、この課題は、請求項1の特徴、ここでは特に請求項1の特徴部の特徴を備える方法によって解決される。本発明の方法の有利な実施形態及び発展形態は、それに応じる従属請求項から明らかとなる。
【0009】
本発明の方法の対応する解決策は、実質的に2つのアプローチを含み、これらのアプローチは、移動データの匿名化を保証するために単独でも互いに組み合わせても使用することができる。その際、本発明によれば、この移動データは、少なくとも個別の時間及び位置に関係するデータセットからなり、これらのデータセットは、例えば、タイムスタンプが付与された位置からなる。車両群の中で適切に認証された車両からバックエンドサーバにデータ伝送を行うことを保証するために、これらのデータは、典型的には車両の私的鍵により署名され、当該車両への私的鍵の帰属性は、例えば、私的鍵と共に送信される対応する証明書、例えば、TLSクライアント証明書によって証明される。しかしこれは、バックエンドサーバにおいて対応する車両への対応するデータセットの割り当てが簡単に可能であることを保証するだけであろう。まさにこのことを防止するために、冒頭に述べた従来技術から基本的に公知の種々の車両間のデータ伝送が利用され、その結果、データセットの形態で収集されて、バックエンドサーバに送信される移動データは、少なくとも一部のデータセットの送信が、本発明により少なくとも1つの他の車両を介して間接的に行われるようにして送信される。したがって、この他の車両は、データの実際の発信元をバックエンドサーバに対して秘匿するための一種の「プロキシ」として使用される。なぜなら、これらの情報は、バックエンドサーバに到来するのではなく、ローカルでのみ他の車両に到来し、この他の車両がその時点でこのデータを転送し、これによりデータの実際の発信元を秘匿するからである。これによって匿名化が可能である。
【0010】
匿名化におけるさらなる問題は、車両からのデータセットのある程度の集合がバックエンドサーバに完全に存在する場合には、ルート部分が場合によりソートされていなくても、又は他の車両が走行したルート部分と混在していても、バックエンドサーバがこの集合から当該車両の順序付けられた移動履歴全体を復元できることである。その理由は、データセットの位置とタイムスタンプとが一致し、それにより車両に一義的に割り当てることができる場合には、時間的/空間的に空白なしに連続するデータセットから個々のルート部分を相応に復元できるからである。
【0011】
この問題に対処するために、上記の解決策に付加的に又は代替的に、少なくとも一部のデータセットにおける位置関係及び/又は時間関係が送信前にノイズ付与されることもできる。したがってここでは、特定の車両への全移動プロファイルの帰属性を推定させるデータの、上記の意味で行われるソートを阻止するために、不正確さが組み込まれる。ただし、その際、ノイズ付与の量は、例えば、対応するタイムスタンプがもはや完全に一致しない程度にまでノイズ付与させるため、最小でなければならない。このことは、位置データに対しても当てはまり、特定の道路での車両の走行が、ただし複数車線の道路の場合には車線ではないが、識別可能である程度に位置データにノイズ付与することができる。このようにして、データが互いにどのように所属しているかを、もはや一義的に確認することができなくなり、その結果、これにより匿名化もまた可能になる。しかしながら、比較的高精度のデータの品質は維持され、バックエンドサーバによるデータの量的な良好な評価は、以前と同じように所望の様式で保証される。その際、交通状況の復元のために多くの場合では、どの車両が正確にどの時間帯に正確にどの個所に存在していたかは重要ではなく、当該車両がおおよその平均速度でその道路を走行したことを知れば十分であり、どの車線をちょうど利用しているかなどまでは重要ではない。
【0012】
匿名化が2つの解決態様の組み合わせによって達成されると、特に有利である。この場合、バックエンドサーバに送信されたデータに基づき特定の車両についてデータをバックトラッキングすることがさらに困難になる。したがって、これは最終的に匿名化の品質を向上させ、データの評価に関してデータ品質に不利に影響することはない。
【0013】
本発明の方法の非常に有利な発展形態によれば、バックエンドサーバと接続された車両群の全ての車両が、共通の共有車両証明書及びこれに所属する私的鍵を有することができ、この私的鍵により作成された署名は、データセットと共に直接、又は少なくとも1つの他の車両を介してバックエンドサーバに送信されるように、このとき企図することができる。移動データを、全ての車両の共有私的鍵により作成された署名と共に交換することにより、バックエンドサーバ側では、受信されたデータが車両群の車両によって記録されたものであり、バックエンドサーバに直接又は間接的に送信されたものであることを保証できる。これによりバックエンドサーバ側ではセキュリティ要件が満たされ、各データセットを車両群の特定の車両へ直接割り当てるための署名及び関連する証明書を検証する必要がなくなる。
【0014】
本発明の方法の特に有利な実施形態では、データセットは、ルートのスタート地点までの近さに応じて、及び/又は目的地案内、例えばナビゲーションシステム、を伴う場合はルートの計画された終着点までの近さに応じて、異なる強度でノイズ付与されるように、さらに企図することができる。ノイズ付与の強度又は大きさ、すなわちそれぞれのデータセットにおいて人工的に挿入される位置及び/又は時間の曖昧さは、特にルートのスタート地点及び潜在的な終着点に依存して適合される。特にスタート地点及び終着点は、データ保護に関して、車両が通過する地点よりも保護が必要であるから、これらには特に高い保護が適用される。したがって、スタート地点及び終着点の領域、例えば、相応の半径数キロメートル内、又は数サイクルの相応のサイクル時間内では、他の領域におけるよりもノイズ付与をより強く行うことができ、それによってこれらの領域では確かに品質が低下するが、しかし全体として、この特に「プライベート」な領域でのノイズ付与をより強くすることによって改善されたデータ保護を達成することができるように、企図することができる。
【0015】
本発明の方法のこの変形例の非常に有利な発展形態では、スタート地点のような位置、及びナビゲーションシステムの目的地案内がアクティブである際の終着点についてのデータセットをバックエンドサーバに送信せず、特にスタート地点及び/又は終着点の空間的近傍で記録されたデータセットも送信しないように、企図することができる。したがってこれにより、特定の車両及び特にこの車両を使用する人物について特に正確な推定を与える恐れがあるルートのスタート地点及び終着点の保護をさらに改善することができる。
【0016】
2つの変形例を組み合わせる場合、すなわちノイズを付与し、少なくとも1つの他の車両を介して少なくとも一部のデータセットを送信する場合、この構想の非常に有利な発展形態によれば、ノイズ付与の形式及び強度を、関係する車両間で調整して行うように、企図することもできる。ノイズ付与の形式のこのような調整は、特に車両が遭遇する際に、それぞれ他の車両がバックエンドサーバに転送するデータセットの交換にこの遭遇が使用される場合に意味がある。次いで、特にそのような地点では、一時的に少し強めたノイズ付与によって、改善された匿名化を達成することができる。
【0017】
その特に有利な発展形態によれば、本発明の方法の対応する変形例では、車両が互いに遭遇して、データセットを一方の車両から他方の車両に送信する位置のデータセットは、その他のデータセットよりも強くノイズ付与されるように、企図することもできる。したがって、交換の前後に存在するデータセットにはより強くノイズ付与され、その結果、交換の位置及び時間をより良好に秘匿することができる。
【0018】
少なくとも1つの他の車両を介して一部のデータセットを送信する場合、すなわち、車両がデータセットを交換する場合には、車両がデータセットを交換し、その際にそれぞれ他の車両に送信したデータセットを削除し、交換した他車のデータセットに基づいて自身のルートを更新することができるように、対応して企図することができる。これにより、本来はスタート地点Aから終着点Dまでの途中にあり、その間に地点Cで他の車両に遭遇する車両が、バックエンドサーバに対しては、本来は他の車両のスタート地点であるBからCに向かい、そしてCから終着点Dに走行するかのように作用することを達成することができる。これに対して、地点Bから地点Cまで、次いでさらに地点Eまでのその車両の走行ルートは、バックエンドサーバに対しては、第1の車両のスタート地点である地点Aから地点Cを介した地点Eまでの走行であると装うように改ざんされる。またこのことは、データの匿名化の改善にも用いられ、同時に送信されるデータの数も低減する。なぜなら、各車両は、もはや自車及び他車の複数のデータセットを送信する必要がなくなり、まだ送信されていない他車のデータセットだけを他の車両との遭遇の時点までに送信し、そしてそこから自車のデータセットを再度、場合により第3の車両との遭遇までに送信すれば良いからである。
【0019】
本発明の方法のこの特に有利な実施形態によれば、車両間のデータセットの交換又は引き渡しは、車両が時間的及び/又は空間的に互いに接近している場合に行うように、企図することができる。これは一方では、車両対車両通信の伝送技術を介して、対応する位置データによっても保証することができる。車両が、例えば、複数車線の道路上で隣接して走行する場合、一方では簡単な通信を可能にするために、他方ではデータ交換とそれにより達成される匿名化にもかかわらず、バックエンドサーバにおけるデータ品質を適切に高く保つために、対応する交換を行うことができる。
【0020】
本発明の方法の非常に有利な実施形態は、データセットの送信を、所定のパラメータ化可能な期間及び/又はデータセットの数に基づいてさらに行うように、このとき企図することができる。したがって、例えば、サイクル時間を設定することができ、その結果、60秒ごとにデータを対応して送信するか、又はそれぞれ10から20のデータセットが収集された後に送信することができる。
【0021】
本発明の方法の特に有利な実施形態によれば、匿名化された移動データを、そのように匿名化されたものとしてマークするように、企図することもできる。次いで、バックエンドサーバは、ここではその評価及び復元を匿名化されたデータに基づいて行うことを、対応するマーキングを介して識別することができ、これにより場合によりデータ状況の解釈を変更してもよいか、又は変更しなければならない。なぜなら、例えば、それぞれの車種に対して固有のデータ、速度プロファイルなどを考慮すべき場合、同じ車両により走行された全ルートではなく、個々のルートを知ることが場合により重要であり得るからである。
【0022】
本発明の方法のさらなる有利な実施形態は、以下に図面を参照して詳細に示される実施例に基づいて明らかとなる。
【図面の簡単な説明】
【0023】
唯一の添付図面は、この場合、それぞれ3つの経路点からなる単純な2つのルートを、2つの異なる車両が走行するルート図を示す。
【発明を実施するための形態】
【0024】
これは、例えば、図に示された2つの車両1、2のうちの一方が、自分の移動データを、位置及びタイムスタンプからなる位置データセットのシーケンスとして送信することであり得る。このようなシーケンスは、例えば、((位置1、タイムスタンプ1)、(位置2、タイムスタンプ2)、(位置3、タイムスタンプ3)、...)の形式を企図してもよい。これらデータセットは、純粋に例示的にクラウドとして示されたバックエンドサーバ3に相応に送信される。引き続き、バックエンドサーバ3は、自身にとって価値のある情報、例えば、車両1、2の時間空間的な平均速度を、後続の2つの位置データセットにより記述された個々のルート部分から取得する。その際、分離された上記形式のデータセットは、交通分析にはほとんど無価値であることに注意されたい。なぜなら、そのようなデータセットは、タイムスタンプの時点で挙げられた位置に車両1、2が存在していたことを記述するのみだからである。したがってバックエンドサーバ3に対して最も価値があるのは、可能な限り空白のないデータセットのシーケンスであり、これらデータセットは、理想的には、ルート部分のソートされていない集合とは異なり、すでに相応に予めソートされており、したがって迅速に、かつわずかな労力でバックエンドサーバ3によって処理することができる。その際、基本的に、情報内容は、ソートには関係なく同一である。なぜなら、同じ情報を復元できるからであるが、未ソートのデータセットの場合、計算コストは相応に大きくなる。
【0025】
したがって、バックエンド3に好ましい送信の形式は、全てが同じ車両1、2に所属する位置データセットのシーケンスである。しかし、これは、検出された車両移動データの最も匿名性の低い形式でもある。なぜならこのシーケンスから、車両1、2の全移動履歴を直接的に導き出すことができるからである。
【0026】
ここで一般的に位置データセットの送信の際に、匿名性は、2種類のやり方で損なわれる。
【0027】
1.ひとつには、位置データセットが車両1、2自体からバックエンドサーバ3に送信される。信用できるソースからのデータだけがバックエンドサーバ3に送信されることを保証できるためには、車両1、2が送信前にバックエンドサーバ3において、例えば、個人証明書及びTLSを使用して認証されなければならない。このようにしてバックエンドサーバ3は常に、どの車両1、2と通信しているかを知り、これによりどの車両からそれぞれの位置データセットを取得したかも知る。
【0028】
2.バックエンド3に、車両1、2が走行したルート部分の(多少の)完全な(場合により未ソートの)集合が存在する場合、バックエンド3は、これらルート部分がソートされておらず、場合により他車が走行したルート部分と混在又は混合されていても、この集合から当該車両の(多少の)順序付けられた全ての移動履歴を復元することができる。その理由は、車両1、2の空白のない移動履歴の個々のルート部分が、先行ルート部分の終着点若しくは終着タイムスタンプが後続ルート部分のスタート地点若しくはスタートタイムスタンプと同じであるように接続している、又は互いに「合致」しているからである。位置(例えば、GPS座標)及び(少なくとも秒精度の)タイムスタンプが、空間-時点を非常に正確に識別するため、他の車両に所属する別のルート部分が、「合致している」、すなわち位置及びタイムスタンプにおいて完全に同一であるスタート地点又は終着点を有する確率は非常に小さく、適切に言えば、ほぼゼロである。したがって、「対になっている」、すなわち車両1、2又は1つの移動履歴に所属するルート部分、それどころか異なる車両1、2の場合により非常に大きな「未ソートの」プールに由来するルート部分を、常に識別することができ、正しい順序にもたらし、それにより(完全な)移動履歴にコンパイルすることができる。
【0029】
第1の脆弱性に対する改善策は、車両1、2が自身の位置データセットを自身で送信するのではなく、その送信のためにバックエンド3が同様に信頼するが、しかしデータを取得した車両1、2の識別子をバックエンド3に転送しない「中間ステーション」を使用することにより、位置データセットの送信のために「プロキシ」を利用することである。特に、近傍に存在する他の車両1、2がこのタスクを引き受けてもよく、「他車の」位置データセットを自車の位置データセットと共にバックエンド3に、その起源を知らせることなく送信することができる。あるいは、各車両1、2から一部では自車の、一部では他車のルート部分又は部分移動履歴を送信することにより、車両1、2間でルート部分を交換することもできる。
【0030】
ルート部分が車両1、2だけによってバックエンド3に送信される場合、バックエンド3に届くべき各ルート部分を終着点において、いずれかの車両1、2から送信しなければならない。目的は、そのルート部分を他の車両1、2からバックエンド3に送信することであり、このルート部分を走行した車両1、2に対して「割り当て不能」であることにより、匿名化に最大に寄与する。例えば、あるルートの最初又は最終の特定の数のルート部分、すなわちスタート直後、又は目的地直前に走行したルート部分自体は送信しないことが有意であり得る。なぜなら、一方ではルートのスタート又は目的地に該当する情報は、特にセンシブルであり得、他方ではこれらの部分移動履歴は、終着点からだけ移動履歴全体に結合されているため、この部分移動履歴を走行した当該車両1、2に関連付けることがもはやないからである。このようにして、ルートの最初又は最終の特定の数のルート部分を他の車両1、2によって送信することにより、特に技術的かつ意味論的に高い匿名化効果を達成することができる。
【0031】
図の例では、このとき車両1がスタート地点Aを出発し、ルートA-C-Dを走行する。車両2は、スタート地点Bを出発し、ルートB-C-Eを走行する。したがって、車両1、2は、遭遇地点Cで遭遇し、この遭遇地点では車両が時間的かつ空間的に互いに非常に接近している、例えば、複数車線の道路上を並走している。2つの車両1、2が空間的かつ時間的に互いに大きく接近するこの時点で、車両1、2は、このときそれらのデータを交換する。車両1の地点Aと地点Cとの間、及び車両2の地点Bと地点Cとの間のまだ送信されていないデータセットが相応に交換され、各車両1、2は、他の車両2、1に送信した後に送信されたデータを削除し、そして自身の以前に計画された経路を継続する。そしてルートの終着点では、バックエンドサーバ3の領域に、車両1からのルートB-C-Dに関する移動データ、及び車両2からの対応するルートA-C-Eに関する移動データが存在する。したがって、移動データ履歴は、もはや事実には対応せず、バックエンドサーバ3に対して相応に匿名化されている。
【0032】
上記の第2の脆弱性に対する措置は、位置及び/又はタイムスタンプを送信前に軽度に、しかし十分に変更することにより、ルート部分に含まれるデータにノイズ付与することであろう。これは、移動履歴の復元及び/又は個々のルート部分の車両1、2への割り当てを有意に困難にするか、又は全く不可能にする。その際、この車両移動データに基づき引き続き行われる交通分析が、データが正確であるほどより良好な結果を提供することが問題である。これは、過度にノイズ付与すると、引き続き行われる交通分析が不利に影響を受けることを意味する。しかし、過度に弱い、純粋に象徴的なノイズ付与は、終着点の純粋に意味論的な調整を不可能にするが、その意味論、すなわちその値にはほとんど影響を与えず、移動履歴及び/又はルート部分の特定の車両1、2への割り当てを防止するには不十分である。なぜならこの場合、対応して不十分にノイズ付与されたルート部分終着点を、それらが形式的に等しくなくとも識別し、それによりルート部分終着点のそれぞれの割り当てをできるようにするためには、厳密な同一性についての検査ではなく、位置データセットに対して単純な時間的-空間的間隔尺度を使用すれば十分だからである。
【0033】
したがって、目的は、「ノイズ」を控えめに使用し、ルート部分の終着点だけに送信前にノイズ付与し、そのノイズ付与が匿名化に多大に寄与するかのようにし、別のルート部分終着点は変更せずにバックエンド3に送信することである。
【0034】
上にすでに提示したように、2つの車両1、2が十分に空間的-時間的に接近している場合、すなわち、特定の時点で空間的に隣接する2つの車両1、2が、その時点までに蓄積されたが、まだバックエンド3に送信されていない一方の車両1の位置データセットを他方の車両2(隣接車両)に送信し、その直後に引き続き、又は後の時点で、この位置データセットをこの他方の車両2からバックエンド3に、例えば、ルート部分データの(未ソートの)集合の形態、又は部分移動履歴の(ソートされた)位置データセットのシーケンスの形態で送信することが提案される。
【0035】
特に、空間的-時間的に隣接する車両1、2が2台を超える場合、1台の車両が位置データセットを1台超の別の隣接する車両から収集し、これを次にバックエンド3に一緒に送信することが提案される。
【0036】
特に、空間的-時間的に隣接する車両1、2が2台以上の場合、隣接する車両1、2がそれまでに蓄積された自身のデータを互いに交換し、その直後に引き続き、又は後の時点でこの他車のデータをバックエンド3に自身の位置データセットと共に、例えば、ルート部分データの(未ソートの)集合の形態で、又は(ソートされた)位置データのシーケンスの形態で送信することが提案される。
【0037】
さらに、どの車両1、2が他方のどの車両1、2のデータをバックエンド3に送信するかを判定する際に、これによりそれぞれ達成可能な匿名化効果のレベルを、例えば、スタートの直後及び目的地の直前に走行したルート部分又は部分移動履歴を他の車両1、2の可能性に応じて送信することによって考慮することが提案される。
【0038】
さらに、空間的-時間的に隣接する車両1、2が、この場所及びこの時点で非常に類似するそれらの位置-タイムスタンプデータに、一緒に同調してノイズ付与し、将来のどの部分移動履歴が、(この空間的-時間的な点で一方の車両1、2から他方に送信された、又はこの空間的-時間的な点で車両間で交換された)過去のどの部分移動履歴に適合するかをバックエンド3によってもはや直接的に識別することができないようにすることが提案される。
【0039】
さらに、この場所-時間の点で互いに隣接する全ての車両1、2が、これら全てが互いに同調した位置データセット(同期位置データセット)を導入することにより、位置データセットのこのノイズ付与に関与するようにし、この互いに同調した位置データセットが、この同期地点の前にそれぞれ走行したルート部分の終着点、及びこの同期地点の後にそれぞれ走行したルート部分の開始点を規定することが提案される。このようにして、互いに対応する、すなわち同じ車両1、2に所属し、時間的-空間的に同期地点の前に存在する部分移動履歴、及び同期地点の後に存在する部分移動履歴を、バックエンド3が識別することが有意に困難になる。
【0040】
さらに、隣接する全ての車両1、2が同じ同期データセットを使用すること、すなわち同期地点のうちの1つ、つまり考慮される全ての車両1、2が互いに隣接する空間的-時間的地点のうちの1つを使用することが提案される。この場合、バックエンド3は、同期地点であることが迅速に識別できるが(複数の車両1、2が同じ空間-時間点に存在することはあり得ないため)、同期地点前に存在する部分移動履歴を同期地点後に存在する部分移動履歴に簡単に直接的に割り当てることはもはや不可能である。
【0041】
あるいは、隣接する車両1、2において、ある同期地点で軽度にノイズ付与された(互いに近くにある)、しかし異なる同期データセットを選択できるようにすることが提案される。この場合、潜在的に他方の車両1、2から由来する、同期データセットの前に存在する部分移動履歴の最終ルート部分の終着点が、この人工的に生成された同期データセットに適合されて、バックエンド3に対して1つの車両1、2から由来する連続的な矛盾のない移動履歴であると装うことになる。このようにしてバックエンド3には、潜在的な同期地点を識別するのが困難になる。付加的に、隣接する車両1、2の群に所属する車両1、2が同期地点直前にあるすでに走行した部分移動履歴を、まず上記の最大匿名化の原理に従い、又はランダム原理に従い互いに交換し、その後、他車の部分移動履歴を、それぞれ固有の同期データセットに適合することが提案される。1台の車両1、2が同期地点前にある複数の車両1、2の部分移動履歴を送信すれば、そのうちの1つ以上を同期データセットと同調することができる。
【0042】
さらに、どの車両1、2がどの位置データセット又は部分移動履歴をバックエンド3に送信するか、かつどの部分移動履歴を、もっともらしい全体移動履歴を装う目的のために、互いに統合し、互いに分離するかを判定することが提案される。
【0043】
さらに、例えば、考察される車両1、2の集合からの任意の2台の車両1、2に対して予め規定された正の間隔値AbstZeit>0及びAbstRaum>0について、2つの車両間の空間的間隔がAbstRaum以下である、時間インターバル[タイムスタンプ-AbstZeit、タイムスタンプ+AbstZeit]からの時点tが存在する場合、複数の車両1、2を、同期地点(位置、タイムスタンプ)で空間的-時間的に隣接するとみなすことが提案される。
【図 】