ホーム > 特許ランキング > 株式会社ブログウォッチャー
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-17
(45)【発行日】2024-05-27
(54)【発明の名称】情報処理装置、情報処理方法、情報処理プログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20240520BHJP
【FI】
G06F21/62 354
【請求項の数】
7
(21)【出願番号】P 2020068237
(22)【出願日】2020-04-06
(65)【公開番号】P2021165879
(43)【公開日】2021-10-14
【審査請求日】2023-03-15
(73)【特許権者】
【識別番号】508324617
【氏名又は名称】株式会社ブログウォッチャー
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100139066
【弁理士】
【氏名又は名称】伊藤 健太郎
(72)【発明者】
【氏名】村岡 恒輝
(72)【発明者】
【氏名】永川 圭介
【審査官】上島 拓也
(56)【参考文献】
【文献】特開2016-206896(JP,A)
【文献】米国特許出願公開第2016/0066179(US,A1)
【文献】特開2011-123712(JP,A)
【文献】特開2016-149099(JP,A)
【文献】国際公開第2012/090628(WO,A1)
【文献】正木 彰伍,時空間におけるクラスタリングを用いた軌跡情報のk-匿名化法,CSS2016 コンピュータセキュリティシンポジウム2016 論文集,日本,一般社団法人情報処理学会,2016年10月04日,Vol2016,No.2,第921-928頁
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する記憶部と、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングするマッピング部と、
前記時空間領域に基づいて、前記情報の匿名化に関する処理を行う匿名化処理部と、
を備え、
前記匿名化処理部は、前記時空間領域にマッピングされる前記情報の数が所定数以上又はより大きくなるように、前記時空間領域のサイズを制御し、
前記時空間領域のサイズの制御では、前記時空間領域を構成する時間範囲のサイズを制御することを含む、
情報処理装置。
【請求項2】
前記匿名化処理部は、前記情報内の前記位置情報及び/又は前記時刻情報の少なくとも一方を、前記時空間領域における代表値に変更する、請求項1に記載の情報処理装置。
【請求項3】
前記匿名化処理部は、前記時空間領域にマッピングされる前記情報の数が所定数以下又はより小さい場合、該情報を除去する、請求項1又は請求項2に記載の情報処理装置。
【請求項4】
前記匿名化処理部は、前記時空間領域にマッピングされる前記情報に基づいて決定される端末の軌跡が所定数以下又はより小さい数の端末に固有である場合、該情報を除去する、請求項1から請求項3のいずれかに記載の情報処理装置。
【請求項5】
前記代表値には、前記時空間領域のサイズに基づいて決定されるオフセット値が与えられる、請求項2に記載の情報処理装置。
【請求項6】
空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する情報処理装置において、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングする工程と、
前記時空間領域に基づいて、前記情報の匿名化に関する処理を行う工程と、
を備え、
前記匿名化に関する処理を行う工程では、前記時空間領域にマッピングされる前記情報の数が所定数以上又はより大きくなるように、前記時空間領域のサイズを制御し、
前記時空間領域のサイズの制御では、前記時空間領域を構成する時間範囲のサイズを制御することを含む、
情報処理方法。
【請求項7】
空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する情報処理装置に、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングすることと、
前記時空間領域に基づいて、前記情報の匿名化に関する処理を行うことと、
を実行させ、
前記匿名化に関する処理を行うことは、前記時空間領域にマッピングされる前記情報の数が所定数以上又はより大きくなるように、前記時空間領域のサイズを制御し、
前記時空間領域のサイズの制御では、前記時空間領域を構成する時間範囲のサイズを制御することを含む、
情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法、情報処理プログラムに関する。
【背景技術】
【0002】
近年、個人情報(personal information)(パーソナルデータ等ともいう)を特定の個人を識別することができないように加工した情報(匿名化情報等ともいう)を、第三者によるデータ分析等に利活用することが検討されている。このため、個人情報を匿名化情報に加工する技術(匿名化、匿名加工、一般化等ともいう)が検討されている。
【0003】
例えば、特許文献1では、特定の個人の年齢(例えば、68歳)及び体重(例えば、49kg)を所定の年齢範囲(例えば、60~70代)及び所定の体重範囲(例えば、40~50kg)に変換することで、当該特定の個人を識別されないようにすることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2019-175002号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
近年、位置を示す情報(位置情報、例えば、Global Positioning System(GPS)により取得される緯度及び経度等)を収集し、データ分析(例えば、ユーザの動線の分析等)に利活用することが検討されている。しかしながら、GPS等により取得された位置情報をそのまま使うと、当該位置情報からユーザが識別されてしまう恐れがあるため、第三者による位置情報の利活用を適切に推進できない恐れがある。
【0006】
そこで、本発明は、位置情報の匿名性を適切に確保可能な情報処理装置、情報処理方法、情報処理プログラムを提供する。
【課題を解決するための手段】
【0007】
本発明の一態様に係る情報処理装置は、空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する記憶部と、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングするマッピング部と、前記時空間領域に基づいて、前記情報の匿名化に関する処理を行う匿名化処理部と、を備える。
【0008】
この態様によれば、位置情報と時刻情報とを関連付けた情報がマッピングされた時空間領域に基づいて当該情報の匿名化に関する処理が行われるので、当該情報の匿名性を適切に確保できる。
【0009】
上記態様において、前記匿名化処理部は、前記情報内の前記位置情報及び/又は前記時刻情報の少なくとも一方を、前記時空間領域における代表値に変更してもよい。
【0010】
この態様によれば、同一の時空間領域にマッピングされた複数の情報が同一の代表値に変更されるので、当該複数の情報をそれぞれ識別できなくなるので、当該複数の情報の匿名性を適切に確保できる。
【0011】
上記態様において、前記匿名化処理部は、前記時空間領域にマッピングされる前記情報の数が所定数以下又はより小さい場合、該情報を前記記憶部から除去してもよい。
【0012】
この態様によれば、ある時空間領域にマッピングされた情報の数が所定数以下又はより小さい場合、当該情報を除去するので、ある時空間領域内における位置(点)の匿名性を確保できる。
【0013】
上記態様において、前記匿名化処理部は、前記時空間領域にマッピングされる前記情報に基づいて決定される前記端末の軌跡が一つの端末に固有である場合、該情報を前記記憶部から除去してもよい。
【0014】
この態様によれば、位置情報と時刻情報とを関連付けた情報に基づいて決定される端末の軌跡が一つの端末に固有である場合、当該情報を除去するので、端末の軌跡の匿名性を確保できる。
【0015】
上記態様において、前記匿名化処理部は、前記時空間領域にマッピングされる前記端末位置情報の数が所定数以上又はより大きくなるように、前記時空間領域のサイズを制御してもよい。
【0016】
この態様によれば、位置情報と時刻情報とを関連付けた情報を除去せずに当該端末位置情報の匿名性を確保でき、空間における上記情報の網羅率を向上できる。
【0017】
上記態様において、前記匿名化処理部は、前記情報内の前記位置情報及び/又は前記時刻情報の少なくとも一方を、前記制御された時空間領域における代表値に変更してもよい。
【0018】
この態様によれば、サイズが制御された時空間領域にマッピングされた複数の情報が同一の代表値に変更されるので、当該複数の情報をそれぞれ識別できなくなるので、当該複数の情報の匿名性を適切に確保できる。
【0019】
上記態様において、前記代表値には、前記時空間領域のサイズに基づいて決定されるオフセット値が与えられてもよい。
【0020】
この構成によれば、時空間領域の代表値に当該時空間領域のサイズに応じたオフセット値が与えられるので、時空間領域の境界が目立つのを防止できる。
【0021】
本発明の他の態様に係る情報処理方法は、空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する情報処理装置において、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングする工程と、前記時空間領域に基づいて、前記情報の匿名化に関する処理を行う工程と、を備える。
【0022】
本発明の他の態様に係る情報処理プログラムは、空間における位置を示す位置情報と、当該位置情報に関する時刻を示す時刻情報と、を関連付けた情報を記憶する情報処理装置に、前記空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、前記情報をマッピングすることと、前記時空間領域に基づいて、前記情報の匿名化に関する処理を行うことと、を実行させる。
【発明の効果】
【0023】
本発明によれば、位置情報の匿名性を適切に確保できる。
【図面の簡単な説明】
【0024】
【図1】本実施形態に係る時空間領域の概念図である。
【図2】第1の実施形態に係る情報処理装置の構成の一例を示す図である。
【図3】第1の実施形態に係る端末位置情報の一例を示す図である。
【図4A】第1の実施形態に係る端末位置情報のマッピングの一例を示す図である。
【図4B】第1の実施形態に係る時空間領域の代表値への変更の一例を示す図である。
【図4C】第1の実施形態に係る端末の位置(点)の除去の一例を示す図である。
【図5A】第1の実施形態に係る端末の軌跡の一例を示す図である。
【図5B】第1の実施形態に係る端末の軌跡の他の例を示す図である。
【図5C】第1の実施形態に係る端末の軌跡の除去の一例を示す図である。
【図6】第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
【図7】第2の実施形態に係る情報処理装置の構成の一例を示す図である。
【図8A】第2の実施形態に係る端末位置情報のマッピングの一例を示す図である。
【図8B】第2の実施形態に係る時空間領域のサイズの制御の一例を示す図である。
【図8C】第2の実施形態に係る時空間領域の代表値への変更の一例を示す図である。
【図9A】第2の実施形態に係る端末位置情報のマッピングの一例を示す図である。
【図9B】第2の実施形態に係る時空間領域の代表値の一例を示す図である。
【図9C】第2の実施形態に係る時空間領域の代表値のオフセット値の一例を示す図である。
【図10】第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
【図11】本実施形態に係る情報処理装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0025】
添付図面を参照して、本発明の実施形態について説明する。なお、各図において、同一の符号を付したものは、同一又は同様の構成を有する。
【0026】
本実施形態では、位置を示す情報(位置情報)についての「k-匿名化」に関する手法を説明する。「k-匿名化」とは、対象となるデータ内に同一の属性を持つデータがk件以上存在する(k-匿名性を満たす)ようにデータを変換することで、個人が識別される確率をk分の1以下に低減させることである。なお、以下では、k>1の場合を中心に説明するが、これに限られない。kの閾値は、1に限られず、所定数であればよい。
【0027】
本発明者らは、位置情報の「k-匿名化」を行うために、空間を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、位置情報と当該位置情報に関する時刻を示す時刻情報とを関連付けた情報をマッピングして、当該時空間領域に基づいて、位置情報の匿名化に関する処理を行うことを着想した。これにより、位置情報の匿名性を適切に確保できるので、当該位置情報の利活用を促進できる。
【0028】
図1は、本実施形態に係る時空間領域の概念図である。本実施形態では、位置の特定に用いられる空間として、図1に示すような経度及び緯度を用いる地理座標(地図)を例示するが、これに限られない。当該空間は、2次元の座標系(平面地図)又は3次元の座標系(立体地図)等であってもよく、例えば、Simultaneous Localization And Mapping(SLAM)等で作成される座標系(地図)であってもよい。
【0029】
また、空間(例えば、図1では、図1では、経度軸及び緯度軸を有する2次元の平面地図)における位置を示す位置情報は、全地球測位システム(Global Positioning System(GPS))衛星からの信号により取得されるものとするが、これに限られない。当該位置情報は、例えば、所定のセンサ(例えば、レーザセンサ、加速度センサ、ジャイロセンサ、カメラセンサ等)によって取得されてもよい。また、当該位置情報は、所定の端末(例えば、スマートフォン、車載端末、車載装置等)の位置を示すものとするが、これに限られない。
【0030】
以下では、図1に示すように、位置の特定に用いられる空間(例えば、図1では、経度軸及び緯度軸を有する2次元の平面地図)を分割して得られる各領域は、メッシュ状の領域(メッシュ領域)であるものとするが、これに限られない。各メッシュ領域は、所定距離(例えば、10m)四方で構成される。一つのメッシュ領域と所定の時間範囲(例えば、15分)とにより、一つの時空間領域が構成される。
【0031】
例えば、図1では、時空間領域#0は、緯度35度y分x0秒~x1秒及び経度139度b分a0秒~a1秒で特定されるメッシュ領域と、午前7時0分~15分の時間範囲とで構成される。同様に、時空間領域#0とは異なる緯度のメッシュ領域と午前7時0分~15分の時間範囲とで時空間領域#1、#2が構成される。また、インデックスを示さないが、時空間領域#0とは異なる経度のメッシュ領域と、時空間領域#0とは同一の時間範囲又は異なる時間範囲(例えば、午前7時15分~30分、午前7時30分~45分等)で、各時空間領域が構成される。また、時空間領域#0と同一のメッシュ領域と、時空間領域#0とは異なる時間範囲で、各時空間領域が構成される。
【0032】
なお、図1における、x0~x3、y、a0~a2、bは、所定の値であり、x0<x1<x2<x3、a0<a1<a2の関係であってもよい。
【0033】
本実施形態において、位置情報と時刻情報とを関連付けた情報(以下、端末位置情報ともいう)は、例えば、図1に示される複数の時空間領域の一つにマッピングされる。また、当該端末位置情報がマッピングされた時空間領域に基づいて、当該端末位置情報の匿名化に関する処理(匿名化処理)が実施される。匿名化処理では、ある時空間領域内に一つの端末位置情報だけがマッピングされる場合、当該端末位置情報は除去されてもよいし(第1の実施形態)、或いは、複数の端末位置情報を含むように当該ある時空間領域のサイズが動的に制御されてもよい(第2の実施形態)。
【0034】
(第1の実施形態)
<情報処理装置の構成>
図2は、第1の実施形態に係る情報処理装置の構成の一例を示す図である。図2に示すように、情報処理装置10は、記憶部11と、取得部12と、マッピング部13と、匿名化処理部14とを備える。
<情報処理装置の構成>
図2は、第1の実施形態に係る情報処理装置の構成の一例を示す図である。図2に示すように、情報処理装置10は、記憶部11と、取得部12と、マッピング部13と、匿名化処理部14とを備える。
【0035】
記憶部11は、位置情報と時刻情報とを関連付けた端末位置情報を記憶する。図3は、第1の実施形態に係る端末位置情報の一例を示す図である。図3に示すように、端末位置情報は、例えば、端末の識別情報(端末識別情報)と、当該端末の位置を示す位置情報と、当該位置情報に関する時刻を示す情報(時刻情報)と、関連付けた情報であってもよい。なお、x11~x13、x21、b、01~a04は、所定の値であればよく、x1<x11~x13<x2、x2<x21<x3、a0<a01~a04<a1の関係であってもよい。
【0036】
ここで、端末識別情報は、例えば、広告配信用に付与される端末固有の識別子である広告IDであってもよい。当該広告IDは、IDFA(Identifer For Advertising)、AAID(Google Advertising ID)等と呼ばれてもよい。また、位置情報は、例えば、経度及び緯度を含んでもよい。当該位置情報は、GPS衛星からの信号により端末において取得されてもよい。
【0037】
また、時刻情報は、例えば、上記位置情報が取得される時刻、又は、上記位置情報が示す位置に端末が存在する時刻を示してもよい。なお、時刻情報は、当該時刻に限られず、位置情報が取得される(又は、位置情報が示す位置に端末が存在する)日時、年月日等を示してよい。
【0038】
取得部12は、上記端末位置情報を取得する。具体的には、取得部12は、記憶部11に記憶された端末位置情報を取得してもよい。なお、記憶部11に記憶される端末位置情報は、各端末(又は、各端末の端末位置情報を収集するサーバ等)から送信され、後述する通信部10cによって受信されたものであってもよい。或いは、当該端末位置情報は、コンピュータによって読み取り可能な記憶媒体(例えば、DVD、CD、USBメモリ等)に記憶されて情報処理装置10の提供されたものであってもよい
【0039】
マッピング部13は、各端末位置情報を時空間領域にマッピングする。具体的には、マッピング部13は、端末位置情報内の位置情報が示す位置を含むメッシュ領域を特定するとともに、当該端末位置情報内の時刻情報が示す時刻を含む時間範囲を特定してもよい。マッピング部13は、特定されたメッシュ領域及び時間範囲で構成される時空間領域に当該端末位置情報をマッピングしてもよい。
【0040】
図4Aは、第1の実施形態に係る端末位置情報のマッピングの一例を示す図である。図4Aでは、経度軸を示していないが、各時空間領域が緯度軸、時間軸及び経度軸で特定されることは勿論である。図4Aでは、図1における経度139度b分a0秒からa1秒までと、緯度35度y分x0秒からx1秒まで、x1秒からx2秒まで、x2秒からx3秒までとで構成される3つのメッシュ領域と、午前7時0分から午前7時45分までの15分毎の3つの時間範囲と、で構成される9つの時空間領域が示されるものとする。図4Aは、図1の左側面図ともいえる。
【0041】
例えば、午前7時0分~15分の間の時間範囲内で端末A、Bの位置を示す4件(4レコード)の端末位置情報が記憶部11に記憶される場合(図3参照)、図4Aに示すように、マッピング部13は、緯度が35度y分x21秒(ここで、x2<x21<x3)である午前7時1分の端末Aの端末位置情報を時空間情報#2にマッピングしてもよい。
【0042】
一方、マッピング部13は、緯度が35度y分x13秒(ここで、x1<x13<x2)である午前7時3分の端末Bの位置を示す端末位置情報と、緯度が35度y分x12秒(ここで、x1<x12<x2)である午前7時12分の端末Bの位置を示す端末位置情報と、緯度が35度y分x11秒(ここで、x1<x11<x2)である午前7時13分の端末Aの位置を示す端末位置情報とを、時空間領域#1にマッピングしてもよい。
【0043】
匿名化処理部14は、端末位置情報がマッピングされた時空間領域に基づいて、当該端末位置情報の匿名化処理を行う。具体的には、匿名化処理部14は、変更部141と、除去部142と、を備える。
【0044】
変更部141は、端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を、当該端末位置情報がマッピングされた時空間領域を代表する値(代表値)に変更する。当該時空間領域における代表値は、当該時空間領域を構成するメッシュ領域内の代表値及び/又は時間範囲の代表値を含んでもよい。当該メッシュ領域内の代表値は、例えば、当該メッシュ領域内の経度及び緯度の中央値、最小値又は最大値等であってもよい。また、時間範囲内の代表値は、例えば、当該時間範囲内の中央値、最小値又は最大値等であってもよい。
【0045】
図4Bは、第1の実施形態に係る時空間領域の代表値への変更の一例を示す図である。例えば、図4B、図1に示される時空間領域#1の代表値は、当該時空間領域#1を構成するメッシュ領域の中央値である(緯度、経度)=((35度y分x1秒+35度y分x2秒)/2,(139度b分a0秒+139度b分a1秒)/2)と、当該時空間領域#1を構成する時間範囲の中央値である午前7時7.5分(=(午前7時0分+午前7時15分)/2)で特定される点であってもよい。
【0046】
この場合、変更部141は、図4Bに示すように、時空間領域#1にマッピングされた3つの端末位置情報内の位置情報及び時刻情報(例えば、図3)を、それぞれ、当該メッシュ領域の中央値及び時間範囲の中央値に変更してもよい。このように、時空間領域#1にマッピングされた3つの端末位置情報を当該時空間領域#1の代表値に変更することにより、当該3つの端末位置情報それぞれを識別できなくなるので、当該3つの端末位置情報の匿名性を確保できる。
【0047】
除去部142は、記憶部11に記憶された端末位置情報を所定の条件に基づいて除去する。具体的には、除去部142は、時空間領域にマッピングされる端末位置情報の数が所定数(例えば、1)以下又はより小さい場合、当該端末位置情報を記憶部11から除去してもよい。図4Cは、第1の実施形態に係る端末の位置(点)の除去の一例を示す図である。
【0048】
図4A、4Bにおいて、例えば、上記所定数が1である場合、一つの端末位置情報だけがマッピングされる時空間領域(例えば、時空間領域#2等)については、当該時空間領域におけるk-匿名性(k>1)を確保できない。このため、図4Cに示すように、除去部142は、当該端末位置情報を記憶部11から除去してもよい。
【0049】
一方、複数の端末位置情報がマッピングされる時空間領域(例えば、時空間領域#1等)については、当該時空間領域におけるk-匿名性(k>1)を確保できるので、当該複数の端末位置情報は、記憶部11に維持されてもよい。このように、除去部142は、時空間領域にマッピングされる端末位置情報の数に基づいて、記憶部11に記憶される端末位置情報の除去又は維持を制御してもよい。
【0050】
また、除去部142は、時空間領域にマッピングされる端末位置情報に基づいて決定される端末の軌跡が所定数(例えば、1)以下又はより小さい数の端末に固有である場合、当該端末位置情報を記憶部11から除去してもよい。
【0051】
図5A及び5Bは、第1の実施形態に係る端末の軌跡の一例を示す図である。図5A及び5Bでは、端末位置情報によって示される各端末の位置の時間変化(すなわち、各端末の位置の軌跡)が示される。また、図5Cは、第1の実施形態に係る端末の軌跡の除去の一例を示す図である。
【0052】
図5Aでは、記憶部11に記憶される端末位置情報(すなわち、時空間領域の代表値への変更前の端末位置情報、ロウデータ等とおいう)に基づいて決定さる端末A、B、Cの軌跡が示される。一方、図5Bでは、例えば、各端末位置情報内の位置情報及び時刻情報を各端末位置情報がマッピングされる時空間領域の代表値に変更した場合における、端末A、B、Cの軌跡が示される。すなわち、図5Bでは、端末A、B、Cの端末位置情報がマッピングされる時空間領域の代表値の軌跡(当該代表値の変化)が示されるともいえる。
【0053】
図5Bでは、端末A、Bの端末位置情報がマッピングされる時空間領域の代表値の軌跡は、k-匿名性(k>1)を確保できるので、図5Cに示すように、端末A、Bの端末位置情報は、記憶部11に維持されてもよい。一方、端末Cの端末位置情報がマッピングされる時空間領域の代表値の軌跡は、端末C固有であり、k-匿名性(k>1)を確保できない。このため、図5Cに示すように、除去部142は、当該端末Cの端末位置情報を記憶部11から除去してもよい。
【0054】
匿名化処理部14は、以上のように記憶部11に記憶される各端末位置情報に対して匿名化処理を施した後の情報(匿名化情報)の出力(例えば、送信又は表示等)を制御してもよい。具体的には、匿名化処理部14は、後述する通信部10cによる他の装置に対する当該匿名化情報の送信を制御してもよい。また、匿名化処理部14は、後述する出力部eによる当該匿名化情報の表示を制御してもよい。なお、匿名化処理部14は、当該匿名化情報を記憶部11に記憶させ、通信部10c又は入力部10dからの指示に基づいて、当該記憶部11から取得した匿名化情報の出力を制御してもよい。
【0055】
<情報処理装置の動作>
図6は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。図6に示すように、情報処理装置10は、各端末位置情報を取得する(ステップS101)。具体的には、情報処理装置10は、端末を識別する端末識別情報と、当該端末の位置を示す位置情報と、当該位置情報に関する時刻とを関連付けた各端末位置情報を記憶部11から取得してもよい。
図6は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。図6に示すように、情報処理装置10は、各端末位置情報を取得する(ステップS101)。具体的には、情報処理装置10は、端末を識別する端末識別情報と、当該端末の位置を示す位置情報と、当該位置情報に関する時刻とを関連付けた各端末位置情報を記憶部11から取得してもよい。
【0056】
情報処理装置10は、ステップS101で取得された各端末位置情報を時空間領域にマッピングする(ステップS102)。例えば、図4Aに示すように、情報処理装置10は、各端末位置情報内の位置情報及び時刻情報に基づいてそれぞれ特定されたメッシュ領域及び時間範囲で構成される時空間領域に、当該各端末位置情報をマッピングしてもよい。
【0057】
情報処理装置10は、各端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を、各端末位置情報がマッピングされた時空間領域の代表値に変更する(ステップS103)。例えば、図4Bに示すように、情報処理装置10は、各時空間領域の代表値に、当該各時空間領域にマッピングされる各端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を変更してもよい。
【0058】
情報処理装置10は、k-匿名性(k>1)を阻害する端末位置情報を除去する(ステップS104)。具体的には、図4B、4Cに示すように、情報処理装置10は、時空間領域にマッピングされる端末位置情報の数が所定数(例えば、一つ)以下又はより小さい場合、当該端末位置情報を記憶部11から除去してもよい。或いは、図5B、5Cに示すように、情報処理装置10は、時空間領域にマッピングされる端末位置情報に基づいて決定される端末の軌跡が所定数(例えば、一つ)の端末に固有である場合、当該端末位置情報を記憶部11から除去してもよい。
【0059】
情報処理装置10は、以上のように匿名化処理を施した後の匿名化情報を出力(例えば、送信又は表示等)する(ステップS105)。
【0060】
以上のように、第1の実施形態に係る情報処理装置10では、各端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方が、各端末位置情報がマッピングされた時空間領域の代表値に変更される。このため、同一の時空間領域にマッピングされた複数の端末位置情報それぞれが識別されず、当該複数の端末位置情報の匿名性を確保できる。
【0061】
また、第1の実施形態に係る情報処理装置10では、時空間領域にマッピングされる端末位置情報の数が一つである場合、当該端末位置情報が除去されるので、端末の位置(点)についてのk-匿名性(k>1)を確保できる。また、時空間領域にマッピングされる端末位置情報に基づいて決定される端末の軌跡が一つの端末に固有である場合、当該端末位置情報が除去されるので、端末の位置の軌跡についてのk-匿名性(k>1)を確保できる。
【0062】
(第2の実施形態)
第1の実施形態では、k-匿名性(k>1)を阻害する端末位置情報は除去される。一方、第2の実施形態では、当該端末位置情報を除去せずに、k-匿名性(k>1)を満たすように、当該端末位置情報がマッピングされる時空間領域のサイズを変更する点で、第1の実施形態と異なる。以下では、第1の実施形態との相違点を中心に説明する。
第1の実施形態では、k-匿名性(k>1)を阻害する端末位置情報は除去される。一方、第2の実施形態では、当該端末位置情報を除去せずに、k-匿名性(k>1)を満たすように、当該端末位置情報がマッピングされる時空間領域のサイズを変更する点で、第1の実施形態と異なる。以下では、第1の実施形態との相違点を中心に説明する。
【0063】
<情報処理装置の構成>
図7は、第2の実施形態に係る情報処理装置の構成の一例を示す図である。図7に示すように、情報処理装置10は、記憶部11と、取得部12と、マッピング部13と、匿名化処理部15と、を備える。なお、記憶部11、取得部12、マッピング部13の詳細は、第1の実施形態と同様であるため、説明を省略する。
図7は、第2の実施形態に係る情報処理装置の構成の一例を示す図である。図7に示すように、情報処理装置10は、記憶部11と、取得部12と、マッピング部13と、匿名化処理部15と、を備える。なお、記憶部11、取得部12、マッピング部13の詳細は、第1の実施形態と同様であるため、説明を省略する。
【0064】
匿名化処理部15は、端末位置情報がマッピングされた時空間領域に基づいて、当該端末位置情報の匿名化に関する処理を行う。具体的には、匿名化処理部15は、サイズ制御部151と、変更部152と、を備える。
【0065】
サイズ制御部151は、時空間領域にマッピングされる端末位置情報の数が所定数(例えば、1)以上又はより大きくなるように(すなわち、k-匿名性(k>1)を満たすように)、時空間領域のサイズを制御する。ここで、時空間領域のサイズの制御とは、時空間領域を構成するメッシュ領域及び時間範囲の少なくとも一方のサイズを制御することであってもよい。当該時空間領域のサイズは、時空間領域の解像度等と呼ばれてもよい。
【0066】
図8Aは、第2の実施形態に係る端末位置情報のマッピングの一例を示す図である。図8Aでは、時間軸が示していないが、各時空間領域が緯度軸、時間軸及び経度軸で特定されることは勿論である。図5Aでは、空間(例えば、地図)を16個に分割した16個のメッシュ領域と、同一の時間範囲と、で構成される16個の時空間領域が示されるものとする。
【0067】
例えば、図8Aに示すように、端末A、B、C及びDの端末位置情報がマッピングされるとする。この場合、端末C及びDの端末位置情報は、同一の時空間領域にマッピングされるので、当該端末C及びDの端末位置情報についてk-匿名性(k>1、ここでは、K=2)が満たされる。一方、端末Aがマッピングされる時空間領域及び当該端末Bがマッピングされる時空間領域には、それぞれ、単一の端末位置情報だけがマッピングされるので、端末A及びBの端末位置情報についてk-匿名性(k>1)が満たされない。
【0068】
そこで、サイズ制御部151は、端末A及びBそれぞれの端末位置情報がk-匿名性(k>1)を満たすように、時空間領域のサイズを制御してもよい。図8Bは、第2の実施形態に係る時空間領域のサイズの制御の一例を示す図である。図8Bでは、端末A、Bの端末位置情報のようにk-匿名性(k>1)が満たされるように、図8Aにおける4つの時空間領域を統合して一つの時空間領域が構成される。
【0069】
例えば、図8Aでは、時空間領域は、単一のメッシュ領域と単一の時間範囲(例えば、15分)とで構成される。一方、図8Bでは、サイズ制御部151は、端末Aの位置情報がマッピングされるメッシュ領域及び端末Bの位置情報がマッピングされるメッシュ領域を含む4つのメッシュ領域と、当該単一の時間範囲とで、時空間領域を構成してもよい。
【0070】
図8Bに示すように、サイズ制御部151は、位置の特定に用いられる空間(例えば、図8Bでは、経度軸及び緯度軸を有する平面地図)を分割して得られるメッシュ領域のサイズ(すなわち、当該空間を分割して得られる各領域のサイズ)を拡大して、k-匿名性(k>1)が満たされるように時空間領域のサイズを拡大してもよい。また、図示しないが、サイズ制御部151は、時間範囲のサイズ(長さ)を変更(長く)して、k-匿名性(k>1)が満たされるように時空間領域のサイズを拡大してもよい。
【0071】
また、図8Bでは、端末C及びDの端末位置情報がマッピングされる時空間領域のサイズは、図8Aと同様に維持される、端末位置情報の提供サービスの質は、匿名化処理に用いられる時空間領域のサイズが小さいほど(解像度が高いほど)、高くなると想定される。このため、図8Bに示すように、k-匿名性(k>1)が満たされる限りは、時空間領域のサイズを維持する(変更しない)ことにより、端末位置情報の提供サービスの質の低下を防止してもよい。
【0072】
なお、図8Bにおいて、匿名化処理の簡便化のために、当該端末C及びDの端末位置情報がマッピングされる時空間領域のサイズが、端末A及びBの端末位置情報がマッピングされる時空間領域と同一サイズに変更されてもよい。
【0073】
変更部152は、端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を、サイズ制御部151によりサイズが制御された時空間領域の代表値に変更する。当該時空間領域における代表値は、当該時空間領域を構成するメッシュ領域内の代表値及び/又は時間範囲の代表値を含んでもよい。当該メッシュ領域内の代表値は、例えば、当該メッシュ領域内の経度及び緯度の中央値、最小値又は最大値等であってもよい。また、時間範囲内の代表値は、例えば、当該時間範囲内の中央値、最小値又は最大値等であってもよい。
【0074】
図8Cは、第2の実施形態に係る時空間領域の代表値への変更の一例を示す図である。図8Cにおいて、各時空間領域の代表値は、例えば、各時空間領域を構成するメッシュ領域の中央値と、各時空間領域を構成する時間範囲の中央値で特定される点であってもよい。
【0075】
例えば、図8Cに示すように、変更部152は、各時空間領域にマッピングされた複数の端末位置情報(図8Cでは、例えば、端末A及びBの端末位置情報、又は、端末C及びDの端末位置情報)内の位置情報及び時刻情報を、それぞれ、当該メッシュ領域の中央値及び時間範囲の中央値に変更してもよい。このように、サイズ制御部151によりサイズが制御された時空間領域にマッピングされた複数の端末位置情報を当該時空間領域の代表値に変更することにより、当該複数の端末位置情報それぞれを識別できなくなるので、当該複数の端末位置情報の匿名性を確保できる。
【0076】
また、上記時空間領域の代表値には、時空間領域のサイズに応じたオフセット値(ノイズ)が与えられてもよい。変更部152は、端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を、オフセット値が与えられた代表値に変更してもよい。当該オフセット値は、メッシュ領域を構成する緯度及び経度と時間範囲との少なくとも一つに与えられればよい。
【0077】
図9Bは、第2の実施形態に係る時空間領域の代表値の他の例を示す図である。図9Cは、第2の実施形態に係る時空間領域のサイズに応じたオフセット値を与えた代表値の一例を示す図である。図9Aに示すように、時空間領域にマッピングされる端末A、B、C及びDの端末位置情報は、図9Bに示すように、k-匿名性(k>1)が満たされるように、時空間領域のサイズが制御される。
【0078】
図9Bでは、複数の端末位置情報(図9Bでは、例えば、端末A及びBの端末位置情報、又は、端末C及びDの端末位置情報)がマッピングされる各時空間領域の代表値は、当該各時空間領域を構成するメッシュ領域の緯度の最大値及び経度の最小値である点で、メッシュ領域の中央値を用いる図8Cと異なる。
【0079】
図9Cに示すように、変更部152は、図9Bで示される各時空間領域の代表値に対して、各時空間領域のサイズに応じたオフセット値を与えてもよい。変更部152は、各時空間領域にマッピングされた複数の端末位置情報(図9Cでは、例えば、端末A及びBの端末位置情報、又は、端末C及びDの端末位置情報)内の位置情報及び時刻情報を、それぞれ、上記オフセット値が与えられた代表値に変更してもよい。
【0080】
図9Cに示すように、各時空間領域の代表値に各時空間領域のサイズ(例えば、メッシュ領域及び時間範囲の少なくとも一方のサイズ)に応じたオフセット値を与えることにより、各時空間領域の境界(解像度)が明確化されるのを防止できる。
【0081】
なお、代表値に与えられるオフセット値は、各時空間領域のサイズに基づいて決定されるものに限られない。例えば、当該オフセット値は、ランダムに決定されてもよい。
【0082】
匿名化処理部15は、以上のように匿名化処理を施した後の情報(匿名化情報)の出力(例えば、送信又は表示等)を制御してもよい。具体的には、匿名化処理部15は、後述する通信部10cによる他の装置に対する当該匿名化情報の送信を制御してもよい。また、匿名化処理部15は、後述する出力部eによる当該匿名化情報の表示を制御してもよい。なお、匿名化処理部15は、当該匿名化情報を記憶部11に記憶させ、通信部10c又は入力部10dからの指示に基づいて、当該記憶部11から取得した匿名化情報の出力を制御してもよい。
【0083】
<情報処理装置の動作>
図10は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。なお、図10のステップS201及びS202は、図6のステップS101及びS102と同様である。
図10は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。なお、図10のステップS201及びS202は、図6のステップS101及びS102と同様である。
【0084】
情報処理装置10は、k-匿名性(k>1)を満たさない時空間領域があるか否かを判定する(ステップS203)。k-匿名性(k>1)を満たさない時空間領域が存在しない場合(ステップS203;No)、ステップS204をスキップしてもよい。
【0085】
k-匿名性(k>1)を満たさない時空間領域がある場合(ステップS203;Yes)、情報処理装置10は、時空間領域にマッピングされる端末位置情報の数が所定数(例えば、1)以上又はより大きくなるように(すなわち、k-匿名性(k>1)を満たすように)、時空間領域のサイズを制御する(ステップS204)。具体的には、図8Bに示すように、情報処理装置10は、端末A及びBの端末位置情報が同一の時空間領域にマッピングされるように、図8Aにおいて端末A及びBの端末位置情報がそれぞれマッピングされる2つの時空間領域を包含する時空間領域を形成してもよい。
【0086】
ステップS204において、情報処理装置10は、図8Bに示すように、複数の端末位置情報がマッピングされる他の時空間領域のサイズを変更せずに維持してもよいし、変更してもよい。
【0087】
情報処理装置10は、各端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を、サイズが制御された時空間領域の代表値に変更する(ステップS205)。例えば、図8Cに示すように、情報処理装置10は、各時空間領域の代表値に、当該各時空間領域にマッピングされる各端末位置情報内の位置情報及び/又は時刻情報の少なくとも一方を変更してもよい。当該代表値には、図9Cに示されるように、各時空間領域のサイズに応じたオフセット値が与えられてもよい。
【0088】
情報処理装置10は、以上のように匿名化処理を施した後の匿名化情報を出力(例えば、送信又は表示等)する(ステップS206)。
【0089】
以上のように、第2の実施形態に係る情報処理装置10では、時空間領域にマッピングされる端末位置情報の数に基づいて、当該時空間領域のサイズが制御されるので、端末位置情報を除去せずに、当該端末位置情報の匿名性を確保でき、位置の特定に用いられる空間(例えば、経度軸及び緯度軸を有する平面地図)における端末位置情報の網羅率を向上できる。また、時空間領域の代表値にオフセットが与えられるので、時空間領域の境界の明確化を防止できる。
【0090】
(ハードウェア構成)
次に、第1及び第2の実施形態に係る情報処理装置10のハードウェア構成を説明する。図11に示すように、情報処理装置10は、演算装置に相当するCPU(Central Processing Unit)10aと、記憶装置10bと、通信部10cと、入力部10dと、出力部10eとを有する。これらの各構成は、バスを介して相互にデータ送受信可能に接続される。なお、本例では、情報処理装置10は、一台のコンピュータで構成されるが、複数のコンピュータで構成されてもよい。
次に、第1及び第2の実施形態に係る情報処理装置10のハードウェア構成を説明する。図11に示すように、情報処理装置10は、演算装置に相当するCPU(Central Processing Unit)10aと、記憶装置10bと、通信部10cと、入力部10dと、出力部10eとを有する。これらの各構成は、バスを介して相互にデータ送受信可能に接続される。なお、本例では、情報処理装置10は、一台のコンピュータで構成されるが、複数のコンピュータで構成されてもよい。
【0091】
CPU10aは、記憶装置10bに記憶されたプログラムの実行に関する制御やデータの演算、加工を行う制御部である。CPU10aは、位置の特定に用いられる空間(例えば、経度軸及び緯度軸を有する平面地図)を分割して得られる複数の領域のうちの一つと所定の時間範囲とで構成される時空間領域に、端末位置情報をマッピングし、当該時空間領域に基づいて、当該端末位置情報の匿名化に関する処理を行う情報処理プログラムを実行する演算装置(演算部、制御部、制御装置等ともいう)であってもよい。CPU10aは、入力部10d及び/又は通信部10cから種々の入力データを受け取り、入力データの演算結果を出力部10eに出力(例えば、表示)したり、記憶装置10bに格納したり、又は、通信部10cを介して送信したりする。
【0092】
記憶装置10bは、メモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、の少なくとも一つである。情報処理装置10の記憶装置10bは、記憶部11を構成してもよい。また、情報処理装置10の記憶装置10bは、CPU10aが実行する情報処理プログラムを記憶してもよい。
【0093】
通信部10cは、情報処理システム1内の各装置を外部機器に接続するインターフェースである。通信部10cは、他の装置から送信される端末位置情報を受信して、CPU10aの制御に基づいて、当該端末位置情報を記憶装置10bに出力してもよい。通信部10cは、端末位置情報に対して匿名化処理が施された匿名化情報を他の装置に送信してもよい。
【0094】
入力部10dは、ユーザからデータの入力を受け付けるものであり、例えば、キーボード、マウス、タッチパネル、マイクの少なくとも一つを含んでよい。入力部10dは、端末位置情報の匿名化処理の開始要求を受け付けてもよい。
【0095】
出力部10eは、CPU10aによる演算結果を出力するものであり、例えば、LCD(Liquid Crystal Display)等のディスプレイ及びスピーカの少なくとも一つにより構成されてよい。出力部10eは、匿名化処理部14、15によって生成された匿名化情報を出力してもよい。
【0096】
情報処理プログラムは、記憶装置10b等のコンピュータによって読み取り可能な記憶媒体に記憶されて提供されてもよいし、通信部10cにより接続されるネットワークを介して提供されてもよい。当該情報提供プログラムを格納した記憶媒体は、コンピュータ読み取り可能な非一時的な記憶媒体(Non-transitory computer readable medium)であってもよい。非一時的な記憶媒体は特に限定されないが、例えば、USBメモリ、CD-ROM又はDVD等の記憶媒体であってもよい。
【0097】
情報処理装置10では、CPU10aが情報処理プログラムを実行することにより、取得部12、マッピング部13、匿名化処理部14、15等の動作が実現される。なお、これらの物理的な構成は例示であって、必ずしも独立した構成でなくてもよい。例えば、情報処理装置10は、CPU10aと記憶装置10bが一体化したLSI(Large-Scale Integration)を備えていてもよい。
【0098】
以上説明した実施形態は、本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。実施形態が備える各要素並びにその配置、材料、条件、形状及びサイズ等は、例示したものに限定されるわけではなく適宜変更することができる。また、異なる実施形態で示した構成同士を部分的に置換し又は組み合わせることが可能である。
【符号の説明】
【0099】
1…情報処理システム、10…情報処理装置、11…記憶部、12…取得部、13…マッピング部、14…匿名化処理部、141…変更部、142…除去部、15…匿名化処理部、151…サイズ制御部、152…変更部、10a…CPU、10b…記憶装置、10c…通信部、10d…入力部、10e…出力部
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5A】
【図5B】
【図5C】
【図6】
【図7】
【図8A】
【図8B】
【図8C】
【図9A】
【図9B】
【図9C】
【図10】
【図11】