知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-30
(45)【発行日】2024-05-10
(54)【発明の名称】匿名加工装置、プログラム及び匿名加工方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20240501BHJP
【FI】
G06F21/62 354
【請求項の数】
8
(21)【出願番号】P 2020159138
(22)【出願日】2020-09-23
(65)【公開番号】P2022052636
(43)【公開日】2022-04-04
【審査請求日】2023-09-15
【新規性喪失の例外の表示】特許法第30条第2項適用 公開日: 令和2年8月5日、令和2年8月13日 公開先: 株式会社ビデオリサーチ(東京都千代田区三番町6-17)
(73)【特許権者】
【識別番号】513078675
【氏名又は名称】株式会社TVer
(74)【代理人】
【識別番号】100201341
【弁理士】
【氏名又は名称】畠山 順一
(72)【発明者】
【氏名】森藤 大地
【審査官】平井 誠
(56)【参考文献】
【文献】特開2018-156427(JP,A)
【文献】国際公開第2014/050027(WO,A1)
【文献】特開2017-033305(JP,A)
【文献】特開2019-117647(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工する匿名加工装置であって、前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化する第1のグループ化手段と、
前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成する第2の識別情報生成手段と、
前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する匿名加工情報生成手段と
を備える匿名加工装置。
【請求項2】
前記属性情報は、前記個人の履歴情報を含む請求項1に記載の匿名加工装置。
【請求項3】
前記属性情報は、個人関連情報を含む請求項1又は請求項2に記載の匿名加工装置。
【請求項4】
前記匿名加工情報生成手段は、現実には起こりえない二つの以上の属性情報が同一の第2の識別情報に割り当てられないようにする請求項1から請求項3のいずれかに記載の匿名加工装置。
【請求項5】
前記第1のグループ化手段は、ひとつのグループに含まれる個人情報の最低数を調整する調整手段を含む請求項1から請求項4のいずれかに記載の匿名加工装置。
【請求項6】
前記個人情報の属性情報のうち、匿名加工情報の使用目的に不要な属性情報を除去する除去手段を、更に備える請求項1から請求項4のいずれかに記載の匿名加工装置。
【請求項7】
個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工するコンピュータのプログラムであって、前記プログラムは、前記コンピュータを、
前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化する第1のグループ化手段と、
前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成する第2の識別情報生成手段と、
前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する匿名加工情報生成手段と
して機能させるプログラム。
【請求項8】
個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工する匿名加工方法であって、コンピュータが、
前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化し、
前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成し、
前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する
匿名加工方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は匿名加工装置、プログラム及び匿名加工方法に関し、特に、個人情報を匿名加工する匿名加工装置、プログラム及び匿名加工方法に関する。
【背景技術】
【0002】
近年、個人情報の扱いおよび Cookie やスマートフォンの広告 ID 等の個人関連情報の取り扱いがより重要視されている。
一方、個人情報を含むビッグデータをAIやIoTなど新しい技術とともにいかにビジネスに利活用していくかの重要性が増している。
一方、個人情報を含むビッグデータをAIやIoTなど新しい技術とともにいかにビジネスに利活用していくかの重要性が増している。
【0003】
そこで、個人情報の利活用をしやすくし、新たなビジネスの創造も可能にするため、個人情報から個人を識別して特定できないように個人情報を加工し、また加工した情報から元の個人情報を復元できないようにして個人情報を利活用できるようにする匿名加工の技術が提案されている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
匿名加工の技術は、情報の削減、撹拌、ノイズ挿入などがある。
【0005】
しかし、ビッグデータや機械学習の進歩に伴い、匿名加工された匿名加工情報も、個人を特定できる可能性が高まっている。一方、個人の特定のリスク低減を図るため、過度な加工を行うと、元のデータの統計的な性質を残すことができなくなり、情報の活用という点からは問題があった。
【0006】
そこで、本発明の目的は、個人が特定されるリスクを低減させ、元の情報の統計的な性質を残すことが可能な匿名加工装置、プログラム及び匿名加工方法を提供することにある。
【課題を解決するための手段】
【0007】
本発明の一態様は、個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工する匿名加工装置であって、前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化する第1のグループ化手段と、前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成する第2の識別情報生成手段と、前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する匿名加工情報生成手段とを備える匿名加工装置である。
【0008】
本発明の一態様は、個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工するコンピュータのプログラムであって、前記プログラムは、前記コンピュータを、前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化する第1のグループ化手段と、前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成する第2の識別情報生成手段と、前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する匿名加工情報生成手段として機能させるプログラムである。
【0009】
本発明の一態様は、個人に関する属性情報と第1の識別情報とを含む個人情報を匿名加工する匿名加工方法であって、コンピュータが、前記個人情報の属性情報のうち所定の属性情報と前記所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化し、前記グループ化されたグループ毎に、グループに含まれる個人情報の前記第1の識別情報の種類の数分の第2の識別情報を生成し、前記グループ化されたグループ毎に、グループに含まれる前記第1の識別情報に対応する個人情報の属性情報を、前記第2の識別情報に割り当て、前記第2の識別情報と属性情報とから成る匿名加工情報を生成する匿名加工方法である。
【発明の効果】
【0010】
本発明によれば、個人情報から、個人が特定されるリスクを低減し、元の情報の統計的な性質を残した匿名加工情報を生成することができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
【0013】
本発明は、個人情報の属性情報のうち所定の属性情報と所定の属性情報に基づくグループ化の条件とを用いて、複数の個人情報をグループ化する第1のステップと、グループ化されたグループ毎に、グループに含まれる個人情報の第1の識別情報の種類の数分の第2の識別情報を生成する第2のステップと、グループ化されたグループ毎に、グループに含まれる第1の識別情報に対応する個人情報の属性情報を、第2の識別情報に割り当て、第2の識別情報と属性情報とから成る匿名加工情報を生成する第3のステップとを備える。
【0014】
ここで、個人情報は、個人に関する属性情報と第1の識別情報とを含む。属性情報は、個人の名前、生年月日、年齢、性別、住所、電話番号、E-mailアドレス、銀行口座、クレジットカード番号等の特定の個人を識別することができる情報だけではなく、放送番組の視聴履歴、インターネットの閲覧履歴、インターネットを利用した購入履歴、IPアドレス、位置情報などの履歴情報又は個人関連情報を含む。第1の識別情報は、一般的には属性情報を含む個人情報を一意に識別する識別情報であるが、属性情報のうちの特定の識別符号(生年月日、マイナンバー、デバイス識別子など)の個人識別符号を第1の識別情報として用いても良い。
【0015】
図1の例では、ID_AからID_Zまでの個人情報を保有している。ID_AからID_Zは、第1の識別情報に相当する。各個人情報は、属性情報1から属性情報9を備えている。以下、属性情報を単に属性と記載する場合がある。
【0016】
第1のステップは、保有している個人情報のうち、ひとつ以上の属性に基づいて、複数の個人情報をグループ化する。図1の例では、属性のうち属性3に基づいて、ID_AからID_Zの個人情報を、ID_A、ID_C及びID_Yを含むグループ1からID_B、ID_X及びID_Zを含むグループnにグループ化している。
【0017】
ここで、属性に基づいてグループ化するとは、グループ化の基準となる基準属性(例では属性3)の情報をある条件で区分し、その区分毎にグループ化を行うということである。例えば、基準属性が性別であるならば、男性と女性とにグループ分けをする条件のもとに、個人情報を男性のグループと女性のグループとに分けることである。また、基準属性が年齢であるならば、年代区分毎にグループ分けをする条件のもとに、個人情報を、0から10歳のグループ、11から20歳のグループ、・・・、とに分けることである。
【0018】
第2のステップは、グループ化されたグループ毎に、グループに含まれる個人情報の第1の識別情報の数分の第2の識別情報を生成する。図2の例では、個人情報に含まれるIDを第1の識別情報としている例を示しており、グループ1に含まれる個人情報のID(第1の識別情報)の種類の数は3個(ID_A、ID_C、ID_Y)であるので、3個のID1.1、ID1.2及びID1.3(第2の識別情報)を生成(発番)する。以下、同様に、各グループに含まれる個人情報のID(第1の識別情報)の種類の数を計数し、その数の第2の識別情報を生成(発番)する。
【0019】
第3のステップは、グループ化されたグループ毎に、グループに含まれるID(第1の識別情報)に対応する個人情報の属性情報を、発番した第2の識別情報に割り当て、第2の識別情報と属性情報とから成る匿名加工情報を生成する。このように匿名加工情報は、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報である。
【0020】
図2の例では、グループ1に含まれる、各ID_A、ID_C及びID_Yの属性1から属性9をランダムに、3個のID1.1、ID1.2及びID1.3に割り当てている。例えば、ID1.1の属性1にはID_Yの属性1が割り当てられ、ID1.1の属性2にはID_Aの属性2が割り当てられ、ID1.1の属性3にはID_Cの属性3が割り当てられ、ID1.1の属性4にはID_Aの属性4が割り当てられ、ID1.1の属性5にはID_Aの属性5が割り当てられ、ID1.1の属性6にはID_Yの属性6が割り当てられ、ID1.1の属性7にはID_Cの属性7が割り当てられ、ID1.1の属性8にはID_Aの属性8が割り当てられ、ID1.1の属性9にはID_Yの属性9が割り当てられている。
【0021】
このようにして、第2の識別情報と属性とから匿名加工情報を生成する。例えば、図2の例では、ID1.1の匿名加工情報は、属性1がID_Yの属性1であり、属性2がID_Aの属性2であり、属性3がID_Cの属性3であり、属性4がID_Aの属性4であり、属性5がID_Aの属性5であり、属性6がID_Yの属性6であり、属性7がID_Cの属性7であり、属性8がID_Aの属性8であり、属性9がID_Yの属性9である匿名加工情報である。尚、図2では、本発明の概念の理解を容易にするために、個人情報のIDを記載しているが実際には個人情報のID(ID_A、ID_C及びID_Y)は含まれない。
【0022】
本発明によって生成された匿名加工情報は、複数の第1の識別子(オリジナル)の属性情報がランダムに含まれるものであり、仮に、匿名加工情報が外部に流出し、第三者のデータとの突合をしようとした場合であっても、合致するデータの蓋然性を減じることができ、結果として個人を特定する可能性を減少することができる。一方、オリジナルの個人情報に存在する属性情報に基づいてグループ化を行うことで、各グループの匿名加工情報はオリジナルの個人情報の統計的な性質を残すことが可能である。
【0023】
次に、具体的な実施の形態を説明する。
図3は本実施の形態の匿名加工装置1のブロック図である。
図3に示すように、匿名加工装置1は、操作入力部10と、処理部11と、画像表示部12と、音出力部13と、通信部14と、記憶部15とを備える。
図3は本実施の形態の匿名加工装置1のブロック図である。
図3に示すように、匿名加工装置1は、操作入力部10と、処理部11と、画像表示部12と、音出力部13と、通信部14と、記憶部15とを備える。
【0024】
操作入力部10は、ユーザが匿名加工に関する各種操作を入力するためのものであり、操作入力に応じた操作入力信号を処理部11に出力する。操作入力部10の機能は、例えば、タッチ操作パッド、ホームボタン、ボタンスイッチや、ジョイスティック、トラックボールといった直接ユーザが指で操作する素子はもちろん、加速度センサや角速度センサ、傾斜センサ、地磁気センサといった、運動や姿勢を検知する素子等によっても実現できる。
【0025】
処理部11は、記憶部15に格納されるプログラムやデータ、操作入力部10からの操作入力信号等に基づいて匿名加工装置1の動作を統括的に制御する。処理部11の機能は、例えば、CPUやGPU等のマイクロプロセッサ、ASIC、ICメモリ等の電子部品によって実現できる。この処理部11は、主な機能部として、演算部21と、画像生成部22と、音生成部23と、通信制御部24とを備える。
【0026】
演算部21は、本実施形態の匿名加工を実現するための処理を実行し、処理結果を画像生成部22や音生成部23に出力する。演算部21は、グループ化部30と、第2の識別情報発番部31と、匿名加工情報生成部32とを含む。
【0027】
グループ化部30は、個人情報の属性情報のうち、ユーザから指定された基本属性に基づいて、複数の個人情報をグループ化する。グループ化にあたって、ユーザは、個人情報のうち、第1の識別情報及び基本属性の指定と、グループ化の条件となるグループ化条件とを指定する。グループ化部30は、個人情報の属性のうち指定された属性の属性値又はデータを、グループ化条件にあてはめて、個人情報を複数のグループにグループ化する。
【0028】
また、グループ化部30は、必要に応じて、個人情報のグループ化前に、匿名加工情報の目的に不必要な属性を、個人情報から削除する機能を有する。匿名加工情報の目的に不必要な属性は、ユーザの指定により行われ、グループ化部30は、指定された属性を、個人情報から削除する。尚、この削除機能は、匿名加工情報生成部32が備えていても良い。
【0029】
更に、グループ化部30は、ひとつのグループに含まれる個人情報の最低数を調整する調整機能を含む。同一のグループ含まれる個人情報の最低数を調整することにより、属性情報の撹拌の度合いを上げ、特定化のリスクを低減することが可能である。
【0030】
第2の識別情報発番部31は、グループ化された各グループの個人情報の第1の識別情報の種類の数を計数し、計数した値(第1の識別情報の種類の数)分の第2の識別情報を発番する。
【0031】
匿名加工情報生成部32は、各グループの第1の識別情報に対応する個人情報の属性を、そのグループの第2の識別情報にランダムに割り当てる。そして、第2の識別情報と属性とからなる匿名加工情報を生成する。ここで、属性を第2の識別情報にランダムに割り当てる際に留意すべき点がある。属性の割り当てを完全にランダムにしてしまうと、現実にはありえないデータが生まれてしまう可能性がある。例えば、属性が番組の視聴履歴の場合、ある番組を視聴しているときに同時に異なる番組を視聴する、属性が郵便番号の場合、郵便番号が頻繁に変更されるなどである。このような属性の割り当てが行われないように、属性を第2の識別情報に割り当てる。また、上述のような割り当てが行われないようにするため、複数の値が含まれると好ましくない個人情報のフィールドは削除する、加工時にドメイン特化のルールを用意するなどの対応を取るようにしても良い。尚、必要に応じて、グループ化部30が属性を削除する機能がない場合、匿名加工情報を生成後に、匿名加工情報の目的に不必要な属性を、匿名加工情報から削除する機能を有する。
【0032】
画像生成部22は、演算部21の処理結果に基づいて1フレーム時間(例えば1/60秒)で1枚の画面を生成し、生成した画面の画像信号を画像表示部12に出力する。画像生成部22の機能は、例えば、GPUやデジタルシグナルプロセッサ(DSP)等のプロセッサ、ビデオ信号IC、ビデオコーデック等のプログラム、フレームバッファ等の描画フレーム用ICメモリ、テクスチャデータの展開用に使用されるICメモリ等によって実現できる。
【0033】
音生成部23は、演算部21の処理結果に基づいて処理に関する効果音や、操作補助情報の音声情報、各種操作音等の音信号を生成し、音出力部13に出力する。音生成部23の機能は、例えば、デジタルシグナルプロセッサ(DSP)や音声合成IC等のプロセッサ、音声ファイルを再生可能なオーディオコーデック等によって実現できる。
通信制御部24は、データ通信のための通信接続及びデータ処理を行う。
通信制御部24は、データ通信のための通信接続及びデータ処理を行う。
【0034】
画像表示部12は、画像生成部22から入力される画像信号に基づいて各種画面を表示する。画像表示部12の機能は、例えば、フラットパネルディスプレイ、ブラウン管(CRT)、プロジェクター、ヘッドマウントディスプレイといった表示装置によって実現できる。
音出力部13は、音生成部23から入力される音信号に基づいて効果音等を音出力するためのものである。
音出力部13は、音生成部23から入力される音信号に基づいて効果音等を音出力するためのものである。
【0035】
通信部14は、通信回線と接続して通信を実現する。通信部14の機能は、例えば、無線通信機、モデム、TA(ターミナルアダプタ)、有線用の通信ケーブルのジャックや制御回路等によって実現できる。
【0036】
記憶部15には、匿名加工装置1を動作させ、匿名加工装置1が備える種々の機能を実現するためのプログラムや、このプログラムの実行中に使用されるデータ等が予め記憶され、或いは処理の都度一時的に記憶される。記憶部15は、例えばRAMやROM、フラッシュメモリ等のICメモリ、ハードディスク等の磁気ディスク、CD-ROMやDVD等の光学ディスク等によって実現できる。
【0037】
記憶部15には、システムプログラムと、匿名加工処理プログラムとが格納される。システムプログラムは、匿名加工装置1のコンピュータとしての基本機能を実現するためのプログラムである。匿名加工処理プログラムは、演算部21を、グループ化部30と、第2の識別情報発番部31と、匿名加工情報生成部32として機能させるためのプログラムである。
また、記憶部15には、第1の識別情報と個人の属性とを含む複数の個人情報が格納されている。
また、記憶部15には、第1の識別情報と個人の属性とを含む複数の個人情報が格納されている。
【0038】
次に、匿名加工装置1の動作を、具体例を用いて説明する。図4は匿名加工装置1の動作のフローチャートである。
【0039】
また、本例では、記憶部15には、図5に示す個人情報が格納されているものとする。図5に示す個人情報は、特定個人情報とテレビ等のデバイスによる番組の視聴履歴とを含むものである。具体的には、ひとつの個人情報は、第1の識別情報に対応する個人情報IDと、氏名と、住所と、性別と、年齢と、デバイスID(視聴装置のID)と、視聴履歴1から視聴履歴4との属性情報を含む。そして、個人情報から視聴者の視聴傾向を分析するために用いる匿名加工情報を生成することを目的とする。
まず、ユーザの指定により、グループ化部30は、記憶部15から個人情報を読み出す(Step1)。
まず、ユーザの指定により、グループ化部30は、記憶部15から個人情報を読み出す(Step1)。
【0040】
ユーザは、操作入力部10を用いて、第1の識別情報に対応する個人情報IDと、グループ化の基準となる基準属性と、グループ化の条件とを指定する(Step2)。本例では、視聴者の視聴傾向を分析するために用いる匿名加工情報を生成することが目的なので、第1の識別情報に対応する個人情報IDを指定し、属性として「年齢」を指定し、グループ化の条件として、各視聴者層にグループ化することを条件として指定する。尚、視聴者層は、C層(4-12歳の男女)、T層(13-19歳の男女)、F1層(20-34歳の女性)、F2層(35-49歳の女性)、F3層(50歳以上の女性)、M1層(20-34歳の男性)、M2層(35-49歳の男性)、M3層(50歳以上の男性)である。
【0041】
必要に応じて、ユーザは、個人情報のうち、匿名加工情報の目的に不必要な属性を指定する(Step3)。これは、匿名加工情報が特定個人情報に該当することを防止するため、更には、匿名加工情報から個人を特定されるリスクを減少させるために有効である。本例では、匿名加工情報の目的は、視聴者の視聴傾向を分析するための情報であるので、個人情報のうち、特定個人情報や個人関連情報に該当する、氏名、住所及びデバイスID(視聴装置のID)の属性を削除する。
【0042】
グループ化部30は、読みだした個人情報から指定された属性を削除する(Step4)。図6は氏名、住所及びデバイスID(視聴装置のID)の属性を削除した個人情報の一例である。
【0043】
グループ化部30は、指定された属性の削除が完了すると、基準属性及びグループ化の条件を用いて、個人情報をグループ化する(Step5)。図7は個人情報を、C層からM3層にグループ化した例を示す図である。
【0044】
次に、第2の識別情報発番部31は、各グループの個人情報の個人情報ID(第1の識別情報)の種類を計数し、計数した値分の第2の識別情報を発番する(Step6)。図7の例では、グループ1(C層)の個人情報の個人情報ID(第1の識別情報)の種類の数は3個(ID1、ID25、ID80)である。従って、3個の第2の識別情報を発番する。例えば、発番される第2の識別情報は、ID1.1、ID1.2、ID1.3である。
【0045】
匿名加工情報生成部32は、各グループの個人情報ID(第1の識別情報)に対応する個人情報の属性を、そのグループの第2の識別情報にランダムに割り当て、第2の識別情報と属性とからなる匿名加工情報を生成する(Step7)。図8はグループ1(C層)の個人情報を第2の識別情報にランダムに割り当て匿名加工情報を生成する一例を示した図である。
【0046】
図8の例では、第1の識別情報である“ID1”の個人情報のうち、性別“1c”が第2の識別情報である“ID1.3”の性別に、年齢“1d”が第2の識別情報である“ID1.2”の年齢に、視聴履歴1“1f”が第2の識別情報である“ID1.3”の視聴履歴1に、視聴履歴2“1g”が第2の識別情報である“ID1.3”の視聴履歴2に、視聴履歴3“1h”が第2の識別情報である“ID1.1”の視聴履歴3に、視聴履歴4“1i”が第2の識別情報である“ID1.2”の視聴履歴4に、それぞれ割り当てられている。
【0047】
また、第1の識別情報である“ID25”の個人情報のうち、性別“25c”が第2の識別情報である“ID1.1”の性別に、年齢“25d”が第2の識別情報である“ID1.1”の年齢に、視聴履歴1“25f”が第2の識別情報である“ID1.1”の視聴履歴1に、視聴履歴2“25g”が第2の識別情報である“ID1.2”の視聴履歴2に、視聴履歴3“25h”が第2の識別情報である“ID1.3”の視聴履歴3に、視聴履歴4“25i”が第2の識別情報である“ID1.3”の視聴履歴4に、それぞれ割り当てられている。
【0048】
また、第1の識別情報である“ID80”の個人情報のうち、性別“80c”が第2の識別情報である“ID1.2”の性別に、年齢“80d”が第2の識別情報である“ID1.3”の年齢に、視聴履歴1“80f”が第2の識別情報である“ID1.2”の視聴履歴1に、視聴履歴2“80g”が第2の識別情報である“ID1.1”の視聴履歴2に、視聴履歴3“80h”が第2の識別情報である“ID1.2”の視聴履歴3に、視聴履歴4“80i”が第2の識別情報である“ID1.1”の視聴履歴4に、それぞれ割り当てられている。
【0049】
このようにして生成された匿名加工情報は、特定化リスクを低減しつつも、データのサンプル量が十分に大きければ例えば、統計的な性質を残しており、有用な情報となる。
【0050】
次に、他の実施の形態の具体例を用いた動作を説明する。図9は他の実施の形態の動作フローチャートである。
他の実施の形態の具体例を用いた動作例では、記憶部15には、図10に示す個人情報が格納されているものとする。図10に示す個人情報は、テレビ端末識別子、視聴者属性、都道府県、チャンネル、視聴開始時刻、視聴終了時刻を属性として含む視聴データである。そして、個人情報から視聴者の視聴傾向を分析するために用いる匿名加工情報を生成することを目的とする。
他の実施の形態の具体例を用いた動作例では、記憶部15には、図10に示す個人情報が格納されているものとする。図10に示す個人情報は、テレビ端末識別子、視聴者属性、都道府県、チャンネル、視聴開始時刻、視聴終了時刻を属性として含む視聴データである。そして、個人情報から視聴者の視聴傾向を分析するために用いる匿名加工情報を生成することを目的とする。
【0051】
まず、ユーザの指定により、グループ化部30は、記憶部15から個人情報を読み出す(Step1)。
【0052】
ユーザは、操作入力部10を用いて、第1の識別情報と、グループ化の基準となる基準属性と、グループ化の条件とを指定する(Step2)。本例では、第1の識別情報としてテレビ端末識別子を指定し、視聴者の視聴傾向を分析するために用いる匿名加工情報を生成することが目的なので、属性として「視聴者属性」を指定し、グループ化の条件として、各視聴者層にグループ化することを条件として指定する。尚、視聴者層は、C層(4-12歳の男女)、T層(13-19歳の男女)、F1層(20-34歳の女性)、F2層(35-49歳の女性)、F3層(50歳以上の女性)、M1層(20-34歳の男性)、M2層(35-49歳の男性)、M3層(50歳以上の男性)である。
【0053】
グループ化部30は、基準属性及びグループ化の条件を用いて、個人情報をグループ化する(Step3)。図11は個人情報を、視聴属性に基づいて、個人情報をグループID1とグループID2とのふたつのグループにグループ化した例を示す図である。
【0054】
次に、第2の識別情報発番部31は、各グループの個人情報のテレビ端末識別子(第1の識別情報)の種類を計数し、計数した値分の第2の識別情報を発番する(Step4)。図12の例では、グループ1(M1層)の個人情報のテレビ端末識別子(第1の識別情報)の種類の数は4個(テレビ端末識別子A,B,C,D)である。従って、4個の第2の識別情報を発番する。例えば、発番される第2の識別情報は、ID1.1、ID1.2、ID1.3、ID1.4である。また、グループ2(F2層)の個人情報のテレビ端末識別子(第1の識別情報)の種類の数は3個(テレビ端末識別子E,F,G)である。従って、3個の第2の識別情報を発番する。例えば、発番される第2の識別情報は、ID2.1、ID2.2、ID2.3である。
【0055】
匿名加工情報生成部32は、各グループのテレビ端末識別子(第1の識別情報)に対応する個人情報の属性を、そのグループの第2の識別情報にランダムに割り当て、第2の識別情報と属性とからなる匿名加工情報を生成する(Step5)。図12は各グループの個人情報を第2の識別情報にランダムに割り当て匿名加工情報を生成する一例を示した図である。
【0056】
図12の例では、グループID1のグループのテレビ端末識別子が“A”の個人情報のひとつがID1.3に、他のひとつがID1.4に割り当てられている。また、テレビ端末識別子が“B”の個人情報のひとつがID1.1に、他のひとつがID1.3に割り当てられている。また、テレビ端末識別子が“C”の個人情報がID1.2に割り当てられている。また、テレビ端末識別子が“D”の個人情報がID1.1に割り当てられている。
また、図12の例では、グループID2のグループのテレビ端末識別子が“E”の個人情報がID2.2に割り当てられている。また、テレビ端末識別子が“F”の個人情報がID2.1に割り当てられている。また、テレビ端末識別子が“G”の個人情報がID2.3に割り当てられている。
また、図12の例では、グループID2のグループのテレビ端末識別子が“E”の個人情報がID2.2に割り当てられている。また、テレビ端末識別子が“F”の個人情報がID2.1に割り当てられている。また、テレビ端末識別子が“G”の個人情報がID2.3に割り当てられている。
【0057】
ここで、第2の識別情報であるID1.3には異なる都道府県である“東京都”と“千葉県”とが割り当てられているが、視聴者層の視聴傾向を分析するために用いる匿名加工情報を生成することが目的なので、異なる都道府県が同一の第2の識別情報に割り当てられていても良い。但し、同一の第2の識別情報に、同一の視聴時間で異なるチャンネルを視聴する履歴は割り当てられないようにする。同一のテレビ識別端末子では同一時間に異なるチャンネルを視聴できないのが原則だからである。また、匿名加工情報の目的が視聴者層の視聴傾向を分析するためのものであることを鑑みれば、現実には起こりえない視聴履歴を持つ匿名加工情報は有用ではない場合が多いからである。
【0058】
次に、ユーザは、個人情報のうち、匿名加工情報の目的に不必要な属性を指定する(Step3)。これは、匿名加工情報が特定個人情報に該当することを防止するため、更には、匿名加工情報から個人を特定されるリスクを減少させるために有効である。本例では、匿名加工情報の目的は、視聴者の視聴傾向を分析するための情報であるので、個人情報のうち、特定個人情報や個人関連情報に該当する、テレビ端末識別子及び都道府県の属性を削除する。
【0059】
匿名加工情報生成部32は、属性が割り当てられた個人情報のうち指定された属性を削除する(Step7)。図13はテレビ端末識別子及び都道府県の属性が削除された匿名加工情報の一例である。
このようにして生成された匿名加工情報は、特定化リスクを低減しつつも、データのサンプル量が十分に大きければ例えば、統計的な性質を残しており、有用な情報となる。
このようにして生成された匿名加工情報は、特定化リスクを低減しつつも、データのサンプル量が十分に大きければ例えば、統計的な性質を残しており、有用な情報となる。
【0060】
以上、好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも上記実施の形態に限定されるものではなく、その技術的思想の範囲内において様々に変形し実施することが出来る。
【符号の説明】
【0061】
1 匿名加工装置
10 操作入力部
11 処理部
12 画像表示部
13 音出力部
14 通信部
15 記憶部
21 演算部
22 画像生成部
23 音生成部
24 通信制御部
30 グループ化部
31 第2の識別情報発番部
32 匿名加工情報生成部
10 操作入力部
11 処理部
12 画像表示部
13 音出力部
14 通信部
15 記憶部
21 演算部
22 画像生成部
23 音生成部
24 通信制御部
30 グループ化部
31 第2の識別情報発番部
32 匿名加工情報生成部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】