知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-08-22
(45)【発行日】2024-08-30
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20240823BHJP
【FI】
G06F21/62 354
【請求項の数】
9
(21)【出願番号】P 2024052960
(22)【出願日】2024-03-28
【審査請求日】2024-03-28
【早期審査対象出願】
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】110004222
【氏名又は名称】弁理士法人創光国際特許事務所
(72)【発明者】
【氏名】披田野 清良
(72)【発明者】
【氏名】黒川 茂莉
(72)【発明者】
【氏名】山口 求
【審査官】▲柳▼谷 侑
(56)【参考文献】
【文献】国際公開第2016/002086(WO,A1)
【文献】特開2014-127037(JP,A)
【文献】特開2015-153106(JP,A)
【文献】中国特許出願公開第113642409(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部と、端末から、ノイズ付与データ群の取得要求を受け付ける受付部と、
前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、前記管理部が管理している前記ノイズ付与データ群を取得する取得部と、
前記取得部が取得したノイズ付与データ群を前記端末に送信する送信部と、
を有する情報処理装置。
【請求項2】
前記所定のデータ群には、前記所定のデータ群に関連するユーザのプライバシーが特定されるリスクの許容度を示すリスク許容値が設定されており、前記管理部は、前記所定のデータ群に対してノイズを付与して前記ノイズ付与データ群が生成されることにより前記ユーザのプライバシーが特定されるリスクを示すリスク値と、前記リスク許容値とに基づいて算出される前記プライバシー予算の残余を管理する、
請求項1に記載の情報処理装置。
【請求項3】
前記管理部は、前記リスク許容値を前記リスク値で除算することにより算出される前記プライバシー予算としての前記ノイズの付与可能回数から、前記ノイズが付与された回数である付与回数を減算した回数である、付与可能残り回数を前記プライバシー予算の残余として管理し、前記取得部は、前記取得要求を受け付けたときの前記付与可能残り回数が0回である場合、前記管理部が管理している前記ノイズ付与データ群を取得する、
請求項2に記載の情報処理装置。
【請求項4】
前記取得部は、前記受付部が前記取得要求を受け付けた場合に前記管理部が管理している前記ノイズ付与データ群が存在しないとき、前記所定のデータ群にノイズを付与してノイズ付与データ群を生成する、請求項1に記載の情報処理装置。
【請求項5】
前記管理部は、前記取得部により生成された前記ノイズ付与データ群を、前記所定のデータ群に対応するノイズ付与データ群として管理し、前記プライバシー予算の残余を更新する、請求項4に記載の情報処理装置。
【請求項6】
前記所定のデータ群は、複数のバージョンを有し、前記管理部は、複数のバージョンのそれぞれの所定のデータ群に対応するノイズ付与データ群と、前記プライバシー予算の残余とを管理し、
前記受付部は、前記端末から、前記バージョンの指定を含む、前記所定のデータ群に対応する前記ノイズ付与データ群の取得要求を受け付け、
前記取得部は、前記プライバシー予算の残余が前記閾値以下である場合、指定された前記バージョンである指定バージョンの前記所定のデータ群に対応して前記管理部が管理しているノイズ付与データ群を取得し、前記プライバシー予算の前記閾値を超える場合、前記指定バージョンの所定のデータ群に対応する新たなノイズ付与データ群を生成する、
請求項1に記載の情報処理装置。
【請求項7】
前記所定のデータ群には、バージョンの更新に従って新たなデータ群が追加され、前記取得部は、前記ノイズ付与データ群を生成する場合、前記指定バージョンよりも前のバージョンに対して前記管理部が管理している前記ノイズ付与データ群に対応する所定のデータ群と、前記指定バージョンに対応する所定のデータ群との差分を示す差分データ群に対してノイズを付与したノイズ付与差分データ群を生成し、当該ノイズ付与差分データ群と、前記指定バージョンよりも前のバージョンに対して前記管理部が管理している前記ノイズ付与データ群とを合わせて、前記指定バージョンに対応するノイズ付与データ群を生成する、
請求項6に記載の情報処理装置。
【請求項8】
コンピュータが実行する、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理するステップと、
端末から、ノイズ付与データ群の取得要求を受け付けるステップと、
前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理されている前記ノイズ付与データ群を取得するステップと、
取得したノイズ付与データ群を前記端末に送信するステップと、
を有する情報処理方法。
【請求項9】
コンピュータを、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部、
端末から、ノイズ付与データ群の取得要求を受け付ける受付部、
前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、前記管理部が管理している前記ノイズ付与データ群を取得する取得部、及び、
前記取得部が取得したノイズ付与データ群を前記端末に送信する送信部、
として機能させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
従来、ユーザに関する情報であるユーザ情報を収集し、データ分析を行うことが実施されている。この場合、ユーザのプライバシーを保護するために、ユーザ情報の少なくとも一部に対してノイズの付与等を行い、ユーザ情報を匿名化することが行われている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2011-117679号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
データ分析を行う場合、様々な観点からデータ分析を行うことが多く、同一のデータ群の取得要求が複数回行われることがある。同一のデータ群に対する取得要求が複数回行われる場合に、同一のデータ群に対してユーザ情報の匿名化が複数回繰り返されると、同一のデータ群に対応する複数のバリエーションのデータ群が生成される。この場合、複数のバリエーションのデータ群を分析することにより、匿名化が行われる前のデータ群の内容を推測しやすくなり、ユーザの識別性が上がる等のプライバシーリスクが増大するという問題が発生する。特に、複数事業者が連携してデータ分析を行う場合はプライバシーリスク増大が顕著になる。
【0005】
そこで、本発明はこれらの点に鑑みてなされたものであり、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することを目的とする。
【課題を解決するための手段】
【0006】
本発明の第1の態様に係る情報処理装置は、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部と、端末から、ノイズ付与データ群の取得要求を受け付ける受付部と、前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、前記管理部が管理している前記ノイズ付与データ群を取得する取得部と、前記取得部が取得したノイズ付与データ群を前記端末に送信する送信部と、を有する。
【0007】
前記所定のデータ群には、前記所定のデータ群に関連するユーザのプライバシーが特定されるリスクの許容度を示すリスク許容値が設定されており、前記管理部は、前記所定のデータ群に対してノイズを付与して前記ノイズ付与データ群が生成されることにより前記ユーザのプライバシーが特定されるリスクを示すリスク値と、前記リスク許容値とに基づいて算出される前記プライバシー予算の残余を管理してもよい。
【0008】
前記管理部は、前記リスク許容値を前記リスク値で除算することにより算出される前記プライバシー予算としての前記ノイズの付与可能回数から、前記ノイズが付与された回数である付与回数を減算した回数である、付与可能残り回数を前記プライバシー予算の残余として管理し、前記取得部は、前記取得要求を受け付けたときの前記付与可能残り回数が0回である場合、前記管理部が管理している前記ノイズ付与データ群を取得してもよい。
【0009】
前記取得部は、前記受付部が前記取得要求を受け付けた場合に前記管理部が管理している前記ノイズ付与データ群が存在しないとき、前記所定のデータ群にノイズを付与してノイズ付与データ群を生成してもよい。
【0010】
前記管理部は、前記取得部により生成された前記ノイズ付与データ群を、前記所定のデータ群に対応するノイズ付与データ群として管理し、前記プライバシー予算の残余を更新してもよい。
【0011】
前記所定のデータ群は、複数のバージョンを有し、前記管理部は、複数のバージョンのそれぞれの所定のデータ群に対応するノイズ付与データ群と、前記プライバシー予算の残余とを管理し、前記受付部は、前記端末から、前記バージョンの指定を含む、前記所定のデータ群に対応する前記ノイズ付与データ群の取得要求を受け付け、前記取得部は、前記プライバシー予算の残余が前記閾値以下である場合、指定された前記バージョンである指定バージョンの前記所定のデータ群に対応して前記管理部が管理しているノイズ付与データ群を取得し、前記プライバシー予算の前記閾値を超える場合、前記指定バージョンの所定のデータ群に対応する新たなノイズ付与データ群を生成してもよい。
【0012】
前記所定のデータ群には、バージョンの更新に従って新たなデータ群が追加され、前記取得部は、前記ノイズ付与データ群を生成する場合、前記指定バージョンよりも前のバージョンに対して前記管理部が管理している前記ノイズ付与データ群に対応する所定のデータ群と、前記指定バージョンに対応する所定のデータ群との差分を示す差分データ群に対してノイズを付与したノイズ付与差分データ群を生成し、当該ノイズ付与差分データ群と、前記指定バージョンよりも前のバージョンに対して前記管理部が管理している前記ノイズ付与データ群とを合わせて、前記指定バージョンに対応するノイズ付与データ群を生成してもよい。
【0013】
本発明の第2の態様に係る情報処理方法は、コンピュータが実行する、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理するステップと、端末から、ノイズ付与データ群の取得要求を受け付けるステップと、前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理されている前記ノイズ付与データ群を取得するステップと、取得したノイズ付与データ群を前記端末に送信するステップと、を有する。
【0014】
本発明の第3の態様に係るプログラムは、コンピュータを、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、前記所定のデータ群に対して前記ノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部、端末から、ノイズ付与データ群の取得要求を受け付ける受付部、前記取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、前記管理部が管理している前記ノイズ付与データ群を取得する取得部、及び、前記取得部が取得したノイズ付与データ群を前記端末に送信する送信部、として機能させる。
【発明の効果】
【0015】
本発明によれば、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができるという効果を奏する。
【図面の簡単な説明】
【0016】
【図1】情報処理システムの概要を説明する図である。
【図2】情報処理装置の機能構成を示す図である。
【図3】管理情報の一例を示す図である。
【図4】情報処理装置がノイズ付与データ群を端末に送信するまでの処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0017】
[情報処理システムSの概要]
図1は、情報処理システムSの概要を説明する図である。情報処理システムSは、所定のデータ群を提供する情報処理装置1と、端末2とを有するシステムであり、端末2にデータ群を集約するためのシステムである。
図1は、情報処理システムSの概要を説明する図である。情報処理システムSは、所定のデータ群を提供する情報処理装置1と、端末2とを有するシステムであり、端末2にデータ群を集約するためのシステムである。
【0018】
情報処理装置1は、例えば、所定のデータ群を提供する所定の事業者が使用するコンピュータである。所定のデータ群は、例えば、所定の事業者が提供するサービスを利用するユーザから当該所定の事業者が収集したユーザに関するデータ群である。なお、図1では、情報処理装置1は、1台のみ示しているが、所定の事業者は複数存在しており、複数の所定の事業者それぞれが、異なる情報処理装置1を使用し、所定のデータ群を端末2に提供可能であるものとする。
【0019】
情報処理装置1は、所定のデータ群を管理するとともに、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群のプライバシー予算の残余とを管理する。ここで、プライバシー予算は、所定のデータ群に対してノイズを追加的に付与可能か否か、可能な場合は後どれ位追加することができるかを示す情報である。
【0020】
端末2は、複数の所定の事業者それぞれからデータ群を収集して集約し、集約したデータ群を分析用のデータ群として、当該複数の事業者を含む各種の事業者に提供する集約事業者が使用するコンピュータである。情報処理装置1と端末2とは、例えば、インターネットや携帯電話回線等の通信ネットワーク(不図示)を介して通信可能に接続されている。
【0021】
本実施の形態において、情報処理装置1は、端末2から、ノイズ付与データ群の取得要求を受け付ける(図1における(1))。情報処理装置1は、ノイズ付与データ群の取得要求を受け付けたときのプライバシー予算の残余が閾値以下であるかを判定する(図1における(2))。情報処理装置1は、プライバシー予算の残余が閾値以下であると判定すると、管理しているノイズ付与データ群を取得し(図1における(3-1))、取得したノイズ付与データ群を端末2に送信する(図1における(4))。他方、情報処理装置1は、プライバシー予算の残余が閾値以上であると判定すると、管理している所定のデータ群にノイズを付与することによりノイズ付与データ群を生成し(図1における(3-2))、付与したノイズに対応する量のプライバシー予算を減少させるとともに、生成したノイズ付与データ群を端末2に送信する(図1における(4))。
【0022】
端末2において集約したデータ群に基づいてデータ分析が行われる場合、様々な観点からデータ分析が行われることが多い。これに対して、情報処理装置1は、端末2から、同一のデータ群の取得要求を複数回取得し、当該取得要求に対応してデータ群を複数回提供することがある。同一のデータ群に対する取得要求が複数回行われる場合に、同一のデータ群に対してユーザ情報の匿名化が複数回繰り返されると、同一のデータ群に対応する複数のバリエーションのデータ群が生成される。この場合、複数のバリエーションのデータ群を分析することにより、匿名化が行われる前のデータ群の内容を推測しやすくなり、ユーザの識別性が上がる等のプライバシーリスクが増大するという問題が発生する。これに対し、情報処理装置1は、所定のデータ群のプライバシー予算の残余を管理し、当該残余が閾値未満である場合には、ノイズ付与データを新たに生成せずに、自身が管理しており、既に端末2に提供したことがあるノイズ付与データを端末2に送信するので、プライバシーリスクが増大することを抑制することができる。
【0023】
[情報処理装置1の機能構成]
続いて、情報処理装置1の機能構成について説明する。図2は、情報処理装置1の機能構成を示す図である。
続いて、情報処理装置1の機能構成について説明する。図2は、情報処理装置1の機能構成を示す図である。
【0024】
図2に示すように、情報処理装置1は、通信部11と、記憶部12と、制御部13とを有する。
通信部11は、端末2等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
通信部11は、端末2等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
【0025】
記憶部12は、各種のデータを記憶する記憶媒体であり、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク、SSD(Solid State Drive)、及びフラッシュメモリ等を有する。記憶部12は、制御部13が実行するプログラムを記憶する。記憶部12は、制御部13を、管理部131、受付部132、取得部133及び送信部134として機能させるプログラムを記憶する。
【0026】
制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶されたプログラムを実行することにより、管理部131、受付部132、取得部133及び送信部134として機能する。
【0027】
管理部131は、所定のデータ群と、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群に対してノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する。所定のデータ群に対してノイズを追加的に付与可能か否かとは、例えば、所定のデータ群に対してノイズをどの程度付与可能であるかを示すものである。
【0028】
ここで、ノイズ付与データ群は、ε-局所型差分プライバシーを満たすものとする。εは、例えばプライバシーの強度を示すパラメータである。また、所定のデータ群に対し、ノイズ付与データ群に含まれるデータに基づいて、所定のデータ群に関連するユーザのプライバシーが特定されるリスクの許容度を示すリスク許容値が設定されるものとする。また、所定のデータ群に対してノイズが1回付与されることにより、ε-局所型差分プライバシーを満たすようにノイズ付与データ群が生成される場合には、ユーザのプライバシーが特定されるリスクが増加するものとする。この場合におけるリスクの増加量を示す値をリスク値という。管理部131は、ε-局所型差分プライバシーを満たすようにノイズ付与データ群を生成する場合におけるリスク許容値と、リスク値とに基づいて算出されるプライバシー予算の残余を管理する。
【0029】
具体的には、管理部131は、リスク許容値をリスク値で除算することにより算出されるプライバシー予算としてのノイズの付与可能回数から、ノイズが付与された回数である付与回数を減算した回数である、付与可能残り回数をプライバシー予算の残余として管理する。
【0030】
また、所定のデータ群は、複数のバージョンを有しており、管理部131は、複数のバージョンそれぞれの所定のデータ群に対応するノイズ付与データ群と、プライバシー予算の残余である付与可能残り回数とを管理する。例えば、記憶部12には、複数のバージョンそれぞれのノイズ付与データ群と、付与可能残り回数とを関連付けた管理情報が記憶されており、管理部131は、当該管理情報に基づいて、複数のバージョンそれぞれのノイズ付与データ群と、付与可能残り回数とを管理する。
【0031】
図3は、管理情報の一例を示す図である。図3に示すように、管理情報において、所定のデータ群のバージョンと、当該バージョンに対応する所定のデータ群を示す情報と、当該バージョンに対応するノイズ付与データ群を示す情報と、付与可能残り回数とが関連付けられていることが確認できる。ここで、所定のデータ群のバージョンは、例えば、当該バージョンの所定のデータ群が生成された年月や年月日を示しており、所定のデータ群には、バージョンの更新に従って新たなデータ群が追加されるものとする。
【0032】
また、所定のデータ群及びノイズ付与データ群は、例えばデータベースに格納されているテーブルであり、所定のデータ群及びノイズ付与データ群を示す情報は、例えばテーブル名であるものとする。なお、所定のデータ群及びノイズ付与データ群は実体を有していないビュー又は実体を有するマテリアライズドビューであってもよく、この場合、所定のデータ群及びノイズ付与データ群を示す情報は、例えばビュー名、又はビューを示すクエリであってもよい。
【0033】
受付部132は、端末2から、ノイズ付与データ群の取得要求を受け付ける。例えば、受付部132は、端末2から、所定のデータ群のバージョンの指定を含む、所定のデータ群に対応するノイズ付与データ群の取得要求を受け付ける。例えば、取得要求には、指定された所定のデータ群のバージョンを示す指定バージョン情報が含まれているものとする。
【0034】
取得部133は、端末2から、ノイズ付与データ群の取得要求を受け付けると、当該取得要求に対応してノイズ付与データ群を取得する。取得部133は、受付部132が取得要求を受け付けたときの所定のデータ群のプライバシー予算の残余が閾値以下である場合、管理部131が管理しているノイズ付与データ群を取得し、当該プライバシー予算の残余が閾値を超える場合、所定のデータ群にノイズを付与してノイズ付与データ群を生成してノイズ付与データ群を取得する。ここで、ノイズは、例えば、実際のデータが、当該実際のデータが取り得る他のデータに置換されることを示している。
【0035】
具体的にはまず、取得部133は、記憶部12に記憶されている管理情報を参照し、受付部132が受け付けた取得要求に含まれるバージョン情報が示す指定バージョンに対応するノイズ付与データ群が存在するか否かを判定する。取得部133は、指定バージョンに対応するノイズ付与データ群が存在しないと判定すると、指定バージョンに対応する所定のデータ群にノイズを付与してノイズ付与データ群を生成する。
【0036】
取得部133は、指定バージョンに対応するノイズ付与データ群が存在すると判定すると、指定バージョンに対応する所定のデータ群に対応するプライバシー予算の残余としての付与可能残り回数を特定する。
【0037】
取得部133は、特定したプライバシー予算の残余が閾値以下である場合、すなわち、付与残り可能回数が0回である場合、指定バージョンの所定データ群に対応して管理部131が管理しているノイズ付与データ群を取得する。また、取得部133は、特定したプライバシー予算の残余が閾値を超える場合、すなわち、付与可能残り回数が1回以上である場合、指定バージョンに対応するノイズ付与データ群に対してさらにノイズを付与することによりノイズ付与データ群を生成する。なお、取得部133は、特定したプライバシー予算の残余が閾値を超える場合、指定バージョンに対応する所定のデータ群にノイズを付与し、指定バージョンの所定のデータ群に対応する新たなノイズ付与データ群を生成してもよい。
【0038】
なお、取得部133は、ノイズ付与データ群を生成する場合、指定バージョンよりも前のバージョンに対して管理部131が管理しているノイズ付与データ群を特定してもよい。この場合、例えば、取得部133は、指定バージョンの直前のバージョンに対して管理部131が管理しているノイズ付与データ群を特定する。
【0039】
そして、取得部133は、特定したノイズ付与データ群に対応する所定のデータ群と、指定バージョンの所定のデータ群との差分を、バージョンの更新に伴って追加されたデータ群を示す差分データ群として特定する。取得部133は、特定した差分データ群に対してノイズを付与したノイズ付与差分データ群を生成する。
【0040】
取得部133は、生成したノイズ付与差分データ群と、指定バージョンの直前のバージョンに対応するノイズ付与データ群とを合わせて、指定バージョンに対応するノイズ付与データ群を生成する。
【0041】
このように、所定のデータ群のバージョンが更新された場合に、古いバージョンに対応するノイズ付与データ群を用いて、新しいバージョンのノイズ付与データ群を生成するので、情報処理装置1は、バージョンの更新に伴ってノイズ付与データ群のバリエーションが増大することを抑制することができる。
【0042】
管理部131は、取得部133により生成されたノイズ付与データ群を、所定のデータ群に対応するノイズ付与データ群として管理し、プライバシー予算の残余を更新する。具体的には、管理部131は、指定バージョンに対応するノイズ付与データ群が存在しておらず、ノイズ付与データ群を新たに生成した場合には、当該ノイズ付与データ群を示す情報と、指定バージョンと、当該指定バージョンに対応する所定のデータ群を示す情報とを関連付けた情報を管理情報に追加する。
【0043】
また、管理部131は、指定バージョンに対応する付与可能残り回数が1回以上であり、ノイズ付与データ群を新たに生成した場合には、指定バージョンに関連付けられているノイズ付与データ群を示す情報を、新たに生成したノイズ付与データ群を示す情報に更新するとともに、付与可能残り回数から1を減算する。
送信部134は、取得部133が取得したノイズ付与データ群を、取得要求を送信した端末2に送信する。
送信部134は、取得部133が取得したノイズ付与データ群を、取得要求を送信した端末2に送信する。
【0044】
[動作フロー]
続いて、情報処理装置1に係る処理の流れについて説明する。図4は、情報処理装置1がノイズ付与データ群を端末2に送信するまでの処理の流れを示すフローチャートである。
まず、受付部132は、端末2から、ノイズ付与データ群の取得要求を受け付ける(S1)。
続いて、情報処理装置1に係る処理の流れについて説明する。図4は、情報処理装置1がノイズ付与データ群を端末2に送信するまでの処理の流れを示すフローチャートである。
まず、受付部132は、端末2から、ノイズ付与データ群の取得要求を受け付ける(S1)。
【0045】
取得部133は、記憶部12に記憶されている管理情報を参照し、取得要求に含まれるバージョン情報が示す指定バージョンのノイズ付与データ群が存在するか否かを判定する(S2)。取得部133は、指定バージョンのノイズ付与データ群が存在すると判定すると(S2におけるYES)、S3に処理を移し、指定バージョンのノイズ付与データ群が存在しないと判定すると(S2におけるNO)、S6に処理を移す。
【0046】
S3において、取得部133は、ノイズ付与データ群に対応する付与可能残り回数を特定する。そして、取得部133は、特定した付与可能残り回数が0回であるか否かを判定する(S4)。取得部133は、付与可能残り回数が0回であると判定すると(S4におけるYES)、S5に処理を移し、付与可能残り回数が0回ではないと判定すると(S4におけるNO)、S6に処理を移す。
【0047】
S5において、取得部133は、管理部131が管理しているノイズ付与データ群、すなわち、記憶部12が記憶している管理情報において指定バージョンに関連付けられているノイズ付与データ群を取得する。
【0048】
他方、S6において、取得部133は、指定バージョンに対応する所定のデータ群を用いてノイズ付与データ群を生成する。取得部133は、ノイズ付与データ群を生成したことに応じて、管理情報を更新する(S7)。
S5においてノイズ付与データ群が取得された後、又はS7において管理情報が更新された後、送信部134は、ノイズ付与データ群を端末2に送信する(S8)。
S5においてノイズ付与データ群が取得された後、又はS7において管理情報が更新された後、送信部134は、ノイズ付与データ群を端末2に送信する(S8)。
【0049】
[変形例]
上述の実施の形態では、管理部131は、付与可能残り回数をプライバシー予算の残余として管理することとしたが、これに限らない。例えば、管理部131は、リスク許容値をプライバシー予算の残余として管理し、ノイズ付与データ群が新たに生成されたことに応じて、リスク許容値から、リスク値を減少させてもよい。そして、取得部133は、受付部132がノイズ付与データ群の取得要求を受け付けた場合に、リスク許容値よりもリスク値が高い場合には、管理部131が管理しているノイズ付与データ群を取得するようにしてもよい。
上述の実施の形態では、管理部131は、付与可能残り回数をプライバシー予算の残余として管理することとしたが、これに限らない。例えば、管理部131は、リスク許容値をプライバシー予算の残余として管理し、ノイズ付与データ群が新たに生成されたことに応じて、リスク許容値から、リスク値を減少させてもよい。そして、取得部133は、受付部132がノイズ付与データ群の取得要求を受け付けた場合に、リスク許容値よりもリスク値が高い場合には、管理部131が管理しているノイズ付与データ群を取得するようにしてもよい。
【0050】
[情報処理装置1による効果]
以上説明したように、本実施の形態に係る情報処理装置1は、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群に対してノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する。情報処理装置1は、端末2から、ノイズ付与データ群の取得要求を受け付け、当該取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理しているノイズ付与データ群を取得して端末2に送信する。このようにすることで、情報処理装置1は、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができる。
以上説明したように、本実施の形態に係る情報処理装置1は、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群に対してノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する。情報処理装置1は、端末2から、ノイズ付与データ群の取得要求を受け付け、当該取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理しているノイズ付与データ群を取得して端末2に送信する。このようにすることで、情報処理装置1は、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができる。
【0051】
なお、本発明により、国連が主導する持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」に貢献することが可能となる。
【0052】
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の全部又は一部は、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を併せ持つ。
【符号の説明】
【0053】
1 情報処理装置
2 端末
11 通信部
12 記憶部
13 制御部
131 管理部
132 受付部
133 取得部
134 送信部
S 情報処理システム
2 端末
11 通信部
12 記憶部
13 制御部
131 管理部
132 受付部
133 取得部
134 送信部
S 情報処理システム
【要約】
【課題】匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制する。
【解決手段】情報処理装置1は、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群に対してノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部131と、端末2から、ノイズ付与データ群の取得要求を受け付ける受付部132と、取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理部131が管理しているノイズ付与データ群を取得する取得部133と、取得部133が取得したノイズ付与データ群を端末2に送信する送信部134と、を有する。
【選択図】図2
【解決手段】情報処理装置1は、所定のデータ群に対してノイズを付与したデータ群であるノイズ付与データ群と、所定のデータ群に対してノイズを追加的に付与可能か否かを示すプライバシー予算の残余とを管理する管理部131と、端末2から、ノイズ付与データ群の取得要求を受け付ける受付部132と、取得要求を受け付けたときのプライバシー予算の残余が閾値以下である場合、管理部131が管理しているノイズ付与データ群を取得する取得部133と、取得部133が取得したノイズ付与データ群を端末2に送信する送信部134と、を有する。
【選択図】図2
【図1】
【図2】
【図3】
【図4】