(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-10-29
(45)【発行日】2024-11-07
(54)【発明の名称】情報処理装置、情報処理システム及び情報処理方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20241030BHJP
【FI】
G06F21/62 354
【請求項の数】
14
(21)【出願番号】P 2024081002
(22)【出願日】2024-05-17
【審査請求日】2024-05-17
【早期審査対象出願】
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】110004222
【氏名又は名称】弁理士法人創光国際特許事務所
(72)【発明者】
【氏名】披田野 清良
(72)【発明者】
【氏名】黒川 茂莉
(72)【発明者】
【氏名】山口 求
(72)【発明者】
【氏名】浅川 善則
【審査官】田中 啓介
(56)【参考文献】
【文献】国際公開第2016/002086(WO,A1)
【文献】米国特許出願公開第2017/0359364(US,A1)
【文献】紀伊 真昇 他,反復ベイズ法を用いた垂直分割データからのプライバシ保護データ合成,マルチメディア,分散,協調とモバイル(DICOMO2023)シンポジウム論文集 情報処理学会シンポジウムシリーズ Vol.2023 No.1 [DVD-ROM] IPSJ Symposium Series,日本,一般社団法人情報処理学会,2023年08月18日,第2023巻、第1号,pp1055-1065
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
G06F16/00-16/958
G06F21/00-21/88
G06Q50/00-50/20
G06Q50/26-99/00
(57)【特許請求の範囲】
【請求項1】
複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部と、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、
前記プライバシー予算と、前記決定部が決定した前記予算消費量とを前記装置に送信する送信部と、
を有する情報処理装置。
【請求項2】
前記受信部は、複数の異なるデータ群それぞれを管理する複数の装置から、前記装置が管理するデータ群に対応する前記属性数情報と前記更新頻度情報とを受信し、前記決定部は、複数の装置それぞれから受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記複数の異なるデータ群に対して付与できるノイズの量を示す前記プライバシー予算に基づいて、複数の前記装置それぞれが管理する複数のデータ群それぞれに対する前記予算消費量を決定し、複数のデータ群それぞれに対する前記予算消費量と、複数のデータ群それぞれに対する前記属性の数とに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定し、
前記送信部は、複数の前記装置それぞれに、当該装置に対応する前記データ群に対して前記決定部が決定した個別プライバシー予算と、前記予算消費量とを送信する、
請求項1に記載の情報処理装置。
【請求項3】
前記決定部は、前記更新頻度情報が示す複数の属性それぞれのデータの更新頻度のうち最大の更新頻度を特定し、前記属性数情報が示す属性の数と、特定した前記最大の更新頻度と、前記プライバシー予算とに基づいて、前記予算消費量を決定する、請求項1に記載の情報処理装置。
【請求項4】
複数の属性それぞれのデータを含むデータ群を管理する情報処理装置であって、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、
前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、
前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信する受信部と、
受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、
前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、
を有する情報処理装置。
【請求項5】
前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、当該ノイズの付与に対応する前記減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与し、
前記送信部は、前記ノイズ付与部によりノイズが付与された前記対象データであるノイズ付与済データを前記管理装置に送信する、
請求項4に記載の情報処理装置。
【請求項6】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記送信部は、前記受付部が受け付けた前記取得要求に対応する前記対象データに対して前記ノイズ付与部がノイズを付与しなかった場合に、前記記憶部に記憶されている当該対象データに対応する前記ノイズ付与済データを前記管理装置に送信する、
請求項5に記載の情報処理装置。
【請求項7】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として、前記記憶部に記憶されている、前記対象データに対応する前記ノイズ付与済データに対してノイズを付与する、
請求項5に記載の情報処理装置。
【請求項8】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記対象データに対応する前記ノイズ付与済データが前記記憶部に記憶されている場合において、前記ノイズ付与済データが前記記憶部に記憶された後に、当該対象データに対する更新があったときには、前記記憶部に記憶されている当該対象データに対してノイズを付与する、
請求項7に記載の情報処理装置。
【請求項9】
前記ノイズ付与部は、前記データ群のうち、前記ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における前記減算量を第2減算量として特定し、前記プライバシー予算が前記第2減算量以上であるともに、前記プライバシー予算から前記取得要求に対応する減算量を減算した後のプライバシー予算が前記第2減算量未満となる場合に、前記ノイズが付与されていないデータ群の全体に対してノイズを付与し、前記減算部は、前記ノイズ付与部が、前記ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する、
請求項5に記載の情報処理装置。
【請求項10】
前記ノイズ付与部は、前記データ群の全体に対しノイズを付与するとともに、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記減算部は、前記ノイズ付与部が前記データ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算し、
前記記憶制御部は、ノイズが付与された前記データ群をノイズ付与済データ群として前記記憶部に記憶させ、
前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、
前記送信部は、前記ノイズ付与済データ群のうち、前記受付部が受け付けた前記取得要求が示す対象データに対応するデータをノイズ付与済データとして前記管理装置に送信する、
請求項4に記載の情報処理装置。
【請求項11】
前記ノイズ付与部は、前記対象データが有する属性の数に、前記予算消費量を乗算することにより、前記プライバシー予算の減算量を特定する、請求項4に記載の情報処理装置。
【請求項12】
複数の属性それぞれのデータを含むデータ群を管理するデータ管理装置と、情報処理装置とを有する情報処理システムであって、前記データ管理装置は、
前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、
前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、
を有し、
前記情報処理装置は、
前記データ管理装置から、前記属性数情報と、前記更新頻度情報とを受信する受信部と、
受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、
前記プライバシー予算と、前記決定部が決定した前記予算消費量とを示す予算情報を前記データ管理装置に送信する送信部と、
を有し、
前記データ管理装置は、
前記情報処理装置から、前記予算情報を受信する受信部と、
受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、
前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、
をさらに有する、
情報処理システム。
【請求項13】
コンピュータが実行する、複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信するステップと、
受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定するステップと、
前記プライバシー予算と、決定した前記予算消費量とを前記装置に送信するステップと、
を有する情報処理方法。
【請求項14】
複数の属性それぞれのデータを含むデータ群を管理するコンピュータが実行する、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定するステップと、
特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信するステップと、
前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信するステップと、
受信した前記プライバシー予算を記憶部に記憶させるステップと、
前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するステップと、
前記対象データに対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算するステップと、
を有する情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理システム及び情報処理方法に関する。
【背景技術】
【0002】
従来、ユーザに関する情報であるユーザ情報を収集し、データ分析を行うことが実施されている。この場合、ユーザのプライバシーを保護するために、ユーザ情報の少なくとも一部に対してノイズの付与等を行い、ユーザ情報を匿名化することが行われている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2011-117679号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
データ分析を行う場合、様々な観点からデータ分析を行うことが多く、同一のデータ群の取得要求が複数回行われることがある。同一のデータ群に対する取得要求が複数回行われる場合に、同一のデータ群に対してユーザ情報の匿名化が複数回繰り返されると、同一のデータ群に対応する複数のバリエーションのデータ群が生成される。この場合、複数のバリエーションのデータ群を分析することにより、匿名化が行われる前のデータ群の内容を推測しやすくなり、ユーザの識別性が上がる等のプライバシーリスクが増大するという問題が発生する。特に、複数事業者が連携してデータ分析を行う場合はプライバシーリスク増大が顕著になる。
【0005】
そこで、本発明はこれらの点に鑑みてなされたものであり、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することを目的とする。
【課題を解決するための手段】
【0006】
本発明の第1の態様に係る情報処理装置は、複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部と、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、前記プライバシー予算と、前記決定部が決定した前記予算消費量とを前記装置に送信する送信部と、を有する。
【0007】
前記受信部は、複数の異なるデータ群それぞれを管理する複数の装置から、前記装置が管理するデータ群に対応する前記属性数情報と前記更新頻度情報とを受信し、前記決定部は、複数の装置それぞれから受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記複数の前記データ群に対して付与できるノイズの量を示す前記プライバシー予算に基づいて、複数の前記装置それぞれが管理する複数のデータ群それぞれに対する前記予算消費量を決定し、複数のデータ群それぞれに対する前記予算消費量と、複数のデータ群それぞれに対する前記属性の数とに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定し、前記送信部は、複数の前記装置それぞれに、当該装置に対応する前記データ群に対して前記決定部が決定した個別プライバシー予算と、前記予算消費量とを送信してもよい。
【0008】
前記決定部は、前記更新頻度情報が示す複数の属性それぞれのデータの更新頻度のうち最大の更新頻度を特定し、前記属性数情報が示す属性の数と、特定した前記最大の更新頻度と、前記プライバシー予算とに基づいて、前記予算消費量を決定してもよい。
【0009】
本発明の第2の態様に係る情報処理装置は、複数の属性それぞれのデータを含むデータ群を管理する情報処理装置であって、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信する受信部と、受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、を有する。
【0010】
前記情報処理装置は、前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、当該ノイズの付与に対応する前記減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与し、前記送信部は、前記ノイズ付与部によりノイズが付与された前記対象データであるノイズ付与済データを前記管理装置に送信してもよい。
【0011】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記送信部は、前記受付部が受け付けた前記取得要求に対応する前記対象データに対して前記ノイズ付与部がノイズを付与しなかった場合に、前記記憶部に記憶されている当該対象データに対応する前記ノイズ付与済データを前記管理装置に送信してもよい。
【0012】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記取得要求に対応する前記対象データにノイズを付与する場合に、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として、前記記憶部に記憶されている、前記対象データに対応する前記ノイズ付与済データに対してノイズを付与してもよい。
【0013】
前記記憶制御部は、前記ノイズ付与済データを前記記憶部に記憶させ、前記ノイズ付与部は、前記受付部が受け付けた前記対象データに対応する前記ノイズ付与済データが前記記憶部に記憶されている場合において、前記ノイズ付与済データが前記記憶部に記憶された後に、当該対象データに対する更新があったときには、前記記憶部に記憶されている当該対象データに対してノイズを付与してもよい。
【0014】
前記ノイズ付与部は、前記データ群のうち、前記ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における前記減算量を第2減算量として特定し、前記プライバシー予算が前記第2減算量以上であるともに、前記プライバシー予算から前記取得要求に対応する減算量を減算した後のプライバシー予算が前記第2減算量未満となる場合に、前記ノイズが付与されていないデータ群の全体に対してノイズを付与し、前記減算部は、前記ノイズ付与部が、前記ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算してもよい。
【0015】
前記ノイズ付与部は、前記データ群の全体に対しノイズを付与するとともに、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記減算部は、前記ノイズ付与部が前記データ群の全体に対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算し、前記記憶制御部は、ノイズが付与された前記データ群をノイズ付与済データ群として前記記憶部に記憶させ、前記情報処理装置は、前記管理装置から、前記対象データの取得要求を受け付ける受付部をさらに有し、前記送信部は、前記ノイズ付与済データ群のうち、前記受付部が受け付けた前記取得要求が示す対象データに対応するデータをノイズ付与済データとして前記管理装置に送信してもよい。
【0016】
前記ノイズ付与部は、前記対象データが有する属性の数に、前記予算消費量を乗算することにより、前記プライバシー予算の減算量を特定してもよい。
【0017】
本発明の第3の態様に係る情報処理システムは、複数の属性それぞれのデータを含むデータ群を管理するデータ管理装置と、情報処理装置とを有する情報処理システムであって、前記データ管理装置は、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定する特定部と、前記特定部が特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信する送信部と、を有し、前記情報処理装置は、前記データ管理装置から、前記属性数情報と、前記更新頻度情報とを受信する受信部と、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部と、前記プライバシー予算と、前記決定部が決定した前記予算消費量とを示す予算情報を前記データ管理装置に送信する送信部と、を有し、前記データ管理装置は、前記情報処理装置から、前記予算情報を受信する受信部と、受信した前記プライバシー予算を記憶部に記憶させる記憶制御部と、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するノイズ付与部と、前記ノイズ付与部がノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算する減算部と、をさらに有してもよい。
【0018】
本発明の第4の態様に係る情報処理方法は、コンピュータが実行する、複数の属性それぞれのデータを含むデータ群を管理する装置から、前記属性の数を示す属性数情報と、複数の前記属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信するステップと、受信した前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、前記データ群に含まれる1つの属性のデータに前記ノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定するステップと、前記プライバシー予算と、決定した前記予算消費量とを前記装置に送信するステップと、を有する。
【0019】
本発明の第5の態様に係る情報処理方法は、複数の属性それぞれのデータを含むデータ群を管理するコンピュータが実行する、前記属性の数と、複数の前記属性それぞれのデータの所定の期間における更新頻度とを特定するステップと、特定した前記属性の数を示す属性数情報と、前記更新頻度を示す更新頻度情報とを、前記データ群に対して付与できるノイズの量を示すプライバシー予算を管理する管理装置に送信するステップと、前記管理装置から、前記属性数情報が示す属性の数と、前記更新頻度情報が示す更新頻度と、前記プライバシー予算とに基づいて決定された、前記データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量と、前記プライバシー予算とを示す予算情報を受信するステップと、受信した前記プライバシー予算を記憶部に記憶させるステップと、前記データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、前記予算消費量に基づいて、当該ノイズの付与に対応する前記プライバシー予算の減算量を特定し、前記記憶部に記憶されているプライバシー予算が、特定した減算量以上であることを条件として前記対象データに対してノイズを付与するステップと、前記対象データに対してノイズを付与したことに応じて、前記記憶部に記憶されているプライバシー予算から当該ノイズの付与に対応する前記減算量を減算するステップと、を有する。
【発明の効果】
【0020】
本発明によれば、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができるという効果を奏する。
【図面の簡単な説明】
【0021】
【図1】情報処理システムの概要を説明する図である。
【図2】情報処理装置の機能構成を示す図である。
【図3】第1装置の機能構成を示す図である。
【図4】情報処理装置1が第1装置及び第2装置からデータを収集するまでの情報処理システムSにおける処理の流れを示すシーケンス図である。
【図5】第1装置が対象データに対してノイズを付与する処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0022】
[情報処理システムSの概要]
図1は、情報処理システムSの概要を説明する図である。情報処理システムSは、情報処理装置1と、第1データ群を管理する第1装置2と、第2データ群を管理する第2装置3とを有し、情報処理装置1にデータ群を集約するためのシステムである。
図1は、情報処理システムSの概要を説明する図である。情報処理システムSは、情報処理装置1と、第1データ群を管理する第1装置2と、第2データ群を管理する第2装置3とを有し、情報処理装置1にデータ群を集約するためのシステムである。
【0023】
情報処理装置1は、例えばデータを集約し、集約後のデータを提供するサービスを提供する集約事業者により運用されており、第1装置2及び第2装置3等の外部装置と、インターネットや携帯電話回線等の通信ネットワーク(不図示)を介して通信可能に接続されている。
【0024】
第1装置2は、例えば第1の事業者により運用されているコンピュータである。第1装置2は、データを識別するためのデータ識別情報としてのデータIDと第1データとを関連付けた複数の第1レコードを含む第1データ群を管理する第1データ管理装置として機能する。第2装置3は、例えば第2の事業者により運用されているコンピュータである。第2装置3は、第1データ群に含まれているデータIDと共通のデータIDと、第2データとを関連付けた複数の第2レコードを含む第2データ群を管理する第2データ管理装置として機能する。第1データ群及び第2データ群は、複数の属性それぞれのデータを含んでいる。
【0025】
情報処理装置1は、第1装置2及び第2装置3からデータを集約する際に、集約するデータのプライバシーリスクが増大することを抑制するために、データ群に付与できるノイズの量を示すプライバシー予算を管理する予算管理装置として機能する。そして、情報処理装置1は、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。
【0026】
具体的には、情報処理装置1は、第1装置2及び第2装置3のそれぞれから、データ群に含まれているデータの属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する。そして、情報処理装置1は、属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、プライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。情報処理装置1は、決定した予算消費量と、プライバシー予算とを第1装置2と第2装置3とに送信する。
【0027】
第1装置2と第2装置3とのそれぞれは、情報処理装置1から受信したプライバシー予算と予算消費量に基づいて、プライバシー予算がなくならないようにデータ群に対してノイズを付与してノイズが付与されたデータ群であるノイズ付与済データを生成する。そして、第1装置2と第2装置3とのそれぞれは、生成したノイズ付与済データを情報処理装置1に送信する。このようにすることで、情報処理システムSでは、同一のデータ群に対してノイズ付与が複数回繰り返されることにより、匿名化が行われる前のデータ群の内容を推測しやすくなることを抑制し、プライバシーリスクが増大することを抑制することができる。
【0028】
[情報処理装置1の機能構成]
続いて、情報処理装置1の機能構成について説明する。図2は、情報処理装置1の機能構成を示す図である。
続いて、情報処理装置1の機能構成について説明する。図2は、情報処理装置1の機能構成を示す図である。
【0029】
図2に示すように、情報処理装置1は、通信部11と、記憶部12と、制御部13とを有する。
通信部11は、第1装置2及び第2装置3等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
通信部11は、第1装置2及び第2装置3等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
【0030】
記憶部12は、各種のデータを記憶する記憶媒体であり、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク、SSD(Solid State Drive)、及びフラッシュメモリ等を有する。記憶部12は、制御部13が実行するプログラムを記憶する。記憶部12は、制御部13を、受信部131、決定部132及び送信部133として機能させるプログラムを記憶する。
【0031】
制御部13は、例えばCPU(Central Processing Unit)である。制御部13は、記憶部12に記憶されたプログラムを実行することにより、受信部131、決定部132及び送信部133として機能する。制御部13の詳細については後述する。
【0032】
[第1装置2及び第2装置3の機能構成]
続いて、第1装置2及び第2装置3の機能構成について説明する。図3は、第1装置2の機能構成を示す図である。第2装置3の機能構成は、第1装置2の機能構成と同じであるので説明を省略する。
続いて、第1装置2及び第2装置3の機能構成について説明する。図3は、第1装置2の機能構成を示す図である。第2装置3の機能構成は、第1装置2の機能構成と同じであるので説明を省略する。
【0033】
図3に示すように、第1装置2は、通信部21と、記憶部22と、制御部23とを有する。
通信部21は、情報処理装置1等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
通信部21は、情報処理装置1等と通信ネットワークを介してデータを送受信するための通信インターフェースである。
【0034】
記憶部22は、各種のデータを記憶する記憶媒体であり、ROM、RAM、ハードディスク、SSD、及びフラッシュメモリ等を有する。記憶部22は、制御部23が実行するプログラムを記憶する。記憶部22は、制御部23を、特定部231、送信部232、受信部233、記憶制御部234、受付部235、ノイズ付与部236及び減算部237として機能させるプログラムを記憶する。
【0035】
また、記憶部22には、第1データ群が記憶されている。第1データ群は、不定期で更新されるものとし、例えば、第1データ群のバージョンと、当該バージョンに対応する第1データ群が関連付けて記憶部22に記憶されているものとする。また、記憶部22には、第1データ群に含まれる一以上の属性それぞれのデータである対象データに対してノイズが付与されたノイズ付与済データであって、過去に情報処理装置1に送信されたノイズ付与済データが記憶されているものとする。
【0036】
制御部23は、例えばCPUである。制御部23は、記憶部22に記憶されたプログラムを実行することにより、特定部231、送信部232、受信部233、記憶制御部234、受付部235、ノイズ付与部236及び減算部237として機能する。
【0037】
[プライバシー予算と予算消費量との通知]
続いて、制御部13及び制御部23の詳細についてシーケンス図及びフローチャートを参照しながら説明する。まず、情報処理装置1が第1装置2及び第2装置3からデータを収集するまでの情報処理システムSにおける処理の流れについて説明する。
続いて、制御部13及び制御部23の詳細についてシーケンス図及びフローチャートを参照しながら説明する。まず、情報処理装置1が第1装置2及び第2装置3からデータを収集するまでの情報処理システムSにおける処理の流れについて説明する。
【0038】
図4は、情報処理装置1が第1装置2及び第2装置3からデータを収集するまでの情報処理システムSにおける処理の流れを示すシーケンス図である。
まず、第1装置2の特定部231は、複数の属性それぞれのデータを含む第1データ群における、属性の数と、複数の属性それぞれのデータの所定の期間における更新頻度とを特定する(S1)。
まず、第1装置2の特定部231は、複数の属性それぞれのデータを含む第1データ群における、属性の数と、複数の属性それぞれのデータの所定の期間における更新頻度とを特定する(S1)。
【0039】
例えば、特定部231は、第1データ群を構成する複数のカラムそれぞれに対応するデータの属性を特定することにより、属性の数を特定する。また、第1装置2の記憶部22には、所定の期間における異なるバージョンの第1データ群が記憶されており、特定部231は、異なるバージョンの複数の第1データ群におけるデータの更新回数を特定することにより、複数の属性それぞれのデータの所定の期間における更新頻度を特定する。
【0040】
送信部232は、特定部231が特定した属性の数を示す属性数情報と、更新頻度を示す更新頻度情報とを、データ群に対して付与できるノイズの量を示すプライバシー予算を管理する情報処理装置1に送信する(S2)。
【0041】
同様に、第2装置3は、属性の数と複数の属性それぞれのデータの所定の期間における更新頻度とを特定し(S3)、属性数情報及び更新頻度情報を情報処理装置1に送信する(S4)。
【0042】
受信部131は、複数の属性それぞれのデータを含むデータ群を管理する複数の装置である第1装置2及び第2装置3それぞれから、当該データ群に含まれるデータの属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する。
【0043】
決定部132は、第1装置2及び第2装置3それぞれにおいて管理されているデータ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する(S5)。
【0044】
決定部132は、受信部131が受信した属性数情報が示す、データ群に含まれるデータに対応する属性の数と、受信した更新頻度情報が示す、複数の属性それぞれのデータの所定の期間における更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する。
【0045】
具体的には、決定部132は、第1装置2及び第2装置3それぞれから受信した属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、複数のデータ群に対して付与できるノイズの総量を示す総プライバシー予算に基づいて、第1装置2及び第2装置3それぞれが管理する複数のデータ群それぞれに対する予算消費量を決定する。
【0046】
例えば、決定部132は、複数の属性それぞれのデータの所定の期間における更新頻度のうち、最大の更新頻度を特定する。そして、決定部132は、第1装置2及び第2装置3それぞれから受信した属性数情報が示す属性の数と、特定した最大の更新頻度と、総プライバシー予算とに基づいて、予算消費量を決定する。第1装置2が管理する第1データ群に含まれるデータの属性の数nA、第2装置3が管理する第2データ群に含まれるデータの属性の数をnB、総プライバシー予算をε、複数のデータ群に含まれる1つの属性のデータにノイズを1回付与したときの予算消費量ε1、最大の更新頻度をkとした場合、決定部132は、予算消費量ε1を以下の式(1)により決定する。
【0047】
【数1】
【0048】
また、決定部132は、複数のデータ群それぞれに対して決定した予算消費量ε1と、複数のデータ群それぞれに対する属性の数nA及びnBとに基づいて、複数のデータ群それぞれに対応するプライバシー予算である個別プライバシー予算を決定する(S6)。第1データ群に対応する個別プライバシー予算をεA、第2データ群に対応する個別プライバシー予算をεBとした場合、決定部132は、以下の式(2)、(3)により、個別プライバシー予算をεA、εBを決定する。
【0049】
【数2】
【数3】
【0050】
なお、決定部132は、最大の更新頻度に基づいて個別プライバシー予算を決定したが、これに限らない。決定部132は、複数の属性それぞれのデータの所定の期間における更新頻度に基づいて、更新頻度の平均回数や更新頻度の総和を特定してもよい。そし、決定部132は、最大の更新頻度の代わりに、更新頻度の平均回数や更新頻度の総和に基づいて個別プライバシー予算を決定してもよい。
【0051】
送信部133は、プライバシー予算と、決定部132が決定した予算消費量とを、データ群を管理する装置に送信する。具体的には、送信部133は、複数の装置である第1装置2及び第2装置3に、これらの装置に対応するデータ群に対して決定部132が決定した個別プライバシー予算と、予算消費量とを示す予算情報を送信する(S7、S8)。
【0052】
第1装置2の受信部233は、情報処理装置1から予算情報を受信する。受信部233は、情報処理装置1から、予算消費量と、第1装置2に対して決定部132が決定した個別プライバシー予算とを示す予算情報とを受信する。同様に、第2装置3も、情報処理装置1から予算情報を受信する。
【0053】
第1装置2の記憶制御部234は、受信部233が受信した予算情報を記憶部12に記憶させることにより、予算消費量と、個別プライバシー予算とを記憶部12に記憶させる(S9)。同様に、第2装置3も、受信した予算情報を自身の記憶部に記憶させることにより、予算消費量と、個別プライバシー予算とを自身の記憶部に記憶させる(S10)。
【0054】
続いて、情報処理装置1の送信部133は、第1装置2に、第1装置2が管理する第1データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を行う(S11)。対象データの取得要求には、対象データに対してノイズを付与し、ノイズが付与された対象データを取得するクエリが含まれている。
【0055】
第1装置2の受付部235は、情報処理装置1から、第1データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を受け付ける。第1装置2のノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与することにより、ノイズが付与された対象データであるノイズ付与済データを取得する(S12)。ノイズ付与部236の詳細については後述する。
【0056】
第1装置2の送信部232は、ノイズ付与部236が取得したノイズ付与済データを情報処理装置1に送信する(S13)。なお、第1装置2の送信部232は、ノイズ付与部236がノイズ付与済データを取得できなかった場合には、ノイズ付与済データが取得できなかったことを示すエラー情報を情報処理装置1に送信する。情報処理装置1の受信部131は、第1装置2からノイズ付与済データを受信し、記憶部12に記憶させる。
【0057】
また、情報処理装置1の送信部133は、第2装置3に対しても、第2装置3が管理する第2データ群に含まれる一以上の属性それぞれのデータである対象データの取得要求を行う(S14)。第2装置3は、情報処理装置1から受け付けた取得要求に対応する対象データにノイズを付与することにより、ノイズが付与された対象データであるノイズ付与済データを取得し(S15)、ノイズ付与済データを情報処理装置1に送信する(S16)。情報処理装置1の受信部131は、第2装置3からノイズ付与済データを受信し、記憶部12に記憶させる。
【0058】
[対象データに対するノイズの付与の詳細]
続いて、第1装置2及び第2装置3が対象データに対してノイズを付与する処理の流れについて説明する。図5は、第1装置2が対象データに対してノイズを付与する処理の流れを示すフローチャートである。なお、第2装置3が対象データに対してノイズを付与する処理の流れは、第1装置2が対象データに対してノイズを付与する処理の流れと同じであるので説明を省略する。
続いて、第1装置2及び第2装置3が対象データに対してノイズを付与する処理の流れについて説明する。図5は、第1装置2が対象データに対してノイズを付与する処理の流れを示すフローチャートである。なお、第2装置3が対象データに対してノイズを付与する処理の流れは、第1装置2が対象データに対してノイズを付与する処理の流れと同じであるので説明を省略する。
【0059】
ノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与する場合に、予算消費量に基づいて、当該ノイズの付与に対応するプライバシー予算の減算量を特定する(S101)。
【0060】
例えば、ノイズ付与部236は、受付部235が受け付けた取得要求に含まれるクエリに基づいて、抽出対象のデータのカラム数を、ノイズを付与する属性数と特定する。そして、ノイズ付与部236は、特定した属性数に、記憶部22に記憶されている予算消費量を乗算することにより、対象データにノイズを付与することによるプライバシー予算の減算量を特定する。
【0061】
ノイズ付与部236は、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であることを条件として対象データに対してノイズを付与し、ノイズ付与済データを取得する。例えば、ノイズ付与部236は、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であるか否かを判定する(S102)。ノイズ付与部236は、プライバシー予算が、特定した減算量以上であると判定すると(S102のYES)、S103に処理を移す。また、ノイズ付与部236は、プライバシー予算が、特定した減算量未満であると判定すると(S102のNO)、S106に処理を移し、受付部235が受け付けた取得要求に対応する対象データに対してノイズを付与しないように制御する。
【0062】
S103において、ノイズ付与部236は、対象データに対してノイズを付与することにより、ノイズ付与済データを取得する。ここで、ノイズ付与部236は、受付部235が受け付けた取得要求に対応する対象データにノイズを付与する場合において、記憶部22に当該対象データに対応するノイズ付与済データが記憶されている場合には、当該ノイズ付与済データに対してノイズを付与するようにしてもよい。
【0063】
また、ノイズ付与部236は、受付部235が受け付けた対象データに対応するノイズ付与済データが記憶部22に記憶されている場合において、ノイズ付与済データが記憶部22に記憶された後に、当該対象データに対する更新があったときには、記憶部22に記憶されている当該対象データに対してノイズを付与するようにしてもよい。このようにすることで、第1装置2は、最新の対象データに対応するノイズ付与済データを生成することができる。
【0064】
続いて、減算部237は、ノイズ付与部236が対象データに対してノイズを付与し、ノイズ付与済データを取得したことに応じて、記憶部22に記憶されているプライバシー予算から、S101において特定された、当該ノイズの付与に対応する減算量を減算する(S104)。
【0065】
続いて、記憶制御部234は、ノイズ付与部236によりノイズが付与された対象データであるノイズ付与済データを記憶部22に記憶させる(S105)。例えば、記憶制御部234は、受付部235が受け付けた取得要求が示すクエリと、当該クエリに対応するノイズ付与済データとを関連付けて記憶部22に記憶させる。
【0066】
S106において、ノイズ付与部236は、記憶部12に、取得要求に対応する対象データに対してノイズが付与されたノイズ付与済データが記憶されているか否かを判定する。例えば、ノイズ付与部236は、取得要求が示すクエリと関連付けてノイズ付与済データが記憶部22に記憶されているか否かを判定することにより、取得要求に対応する対象データに対してノイズが付与されたノイズ付与済データが記憶されているか否かを判定する。
【0067】
ノイズ付与部236は、記憶部12にノイズ付与済データが記憶されていると判定すると(S106のYES)、S107に処理を移し、記憶部22に記憶されているノイズ付与済データを取得する。
また、ノイズ付与部236は、記憶部12にノイズ付与済データが記憶されていないと判定すると(S106のNO)、本フローチャートに係る処理を終了する。
また、ノイズ付与部236は、記憶部12にノイズ付与済データが記憶されていないと判定すると(S106のNO)、本フローチャートに係る処理を終了する。
【0068】
なお、プライバシー予算が減算量未満であるとともに、記憶部12にノイズ付与済データが記憶されていない場合には、ノイズ付与済データが情報処理装置1に送信されないこととなる。これを防ぐために、ノイズ付与部236が、予めデータ群の全体に対しノイズを付与することにより、ノイズが付与されたデータ群であるノイズ付与済データ群を生成し、記憶制御部224が、当該ノイズ付与済データ群を記憶部22に記憶させてもよい。
【0069】
この場合、ノイズ付与部236は、受信部233が情報処理装置1から予算情報を受信したことに応じて、データ群の全体に対しノイズを付与してノイズ付与済データ群を生成するとともに、予算消費量に基づいて、当該ノイズの付与に対応する個別プライバシー予算の減算量を特定する。
【0070】
減算部237は、ノイズ付与部236がデータ群の全体に対してノイズを付与したことに応じて、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する減算量を減算する。また、記憶制御部234は、ノイズが付与されたデータ群をノイズ付与済データ群として記憶部22に記憶させる。
【0071】
その後、受付部235は、情報処理装置1から、対象データの取得要求を受け付け、送信部232は、記憶部22に記憶されているノイズ付与済データ群のうち、受付部235が受け付けた取得要求が示す対象データに対応するデータをノイズ付与済データとして情報処理装置1に送信する。
【0072】
また、ノイズ付与部236は、受付部235が対象データの取得要求を受け付けたことに応じて、第1データ群のうち、ノイズが付与されていないデータ群の全体に対してノイズを付与した場合における減算量を第2減算量として特定してもよい。そして、ノイズ付与部236は、プライバシー予算が第2減算量以上であるともに、プライバシー予算から、取得要求に対応する減算量を減算した後のプライバシー予算が、第2減算量未満となる場合に、ノイズが付与されていないデータ群の全体に対してノイズを付与してもよい。
【0073】
そして、減算部237は、ノイズ付与部236が、ノイズが付与されていないデータ群の全体に対してノイズを付与したことに応じて、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する第2減算量を減算する。また、記憶制御部234は、ノイズが付与されていないデータ群の全体に対してノイズを付与することにより生成されたノイズ付与済データを記憶部22に記憶させる。このようにすることで、情報処理装置1は、第1データ群全体に予めノイズを付与してノイズ付与済データ群を生成するのと同様に、ノイズ付与済データが情報処理装置1に送信されないことを防止することができる。
【0074】
[情報処理装置1による効果]
以上説明したように、本実施の形態に係る情報処理システムSにおいて、情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2及び第2装置3から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信し、当該属性数情報が示す属性の数と、当該更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定し、プライバシー予算と、決定した予算消費量とを第1装置2及び第2装置3に送信する。
以上説明したように、本実施の形態に係る情報処理システムSにおいて、情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2及び第2装置3から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信し、当該属性数情報が示す属性の数と、当該更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定し、プライバシー予算と、決定した予算消費量とを第1装置2及び第2装置3に送信する。
【0075】
また、本実施の形態に係る情報処理システムSにおいて、第1装置2及び第2装置3は、属性数情報と、更新頻度情報とを、情報処理装置1に送信し、情報処理装置1から、属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、プライバシー予算とに基づいて決定された予算消費量と、プライバシー予算とを示す予算情報を受信して記憶部22に記憶させる。そして、第1装置2及び第2装置3は、データ群に含まれる一以上の属性それぞれのデータである対象データにノイズを付与する場合に、予算消費量に基づいて、当該ノイズの付与に対応するプライバシー予算の減算量を特定し、記憶部22に記憶されているプライバシー予算が、特定した減算量以上であることを条件として対象データに対してノイズを付与し、記憶部22に記憶されているプライバシー予算から当該ノイズの付与に対応する減算量を減算する。このようにすることで、情報処理システムSは、匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制することができる。
【0076】
なお、本発明により、国連が主導する持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」に貢献することが可能となる。
【0077】
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、上述の実施の形態では、情報処理装置1が、第1装置2及び第2装置3の2つの装置が管理する2つのデータ群に対して、予算消費量と個別プライバシー予算とを決定したが、これに限らない。情報処理装置1は、3つ以上の装置に対して予算消費量と個別プライバシー予算とを決定してもよい。
【0078】
また、装置の全部又は一部は、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を併せ持つ。
【符号の説明】
【0079】
1 情報処理装置
2 第1装置
3 第2装置
11 通信部
12 記憶部
13 制御部
21 通信部
22 記憶部
23 制御部
131 受信部
132 決定部
133 送信部
231 特定部
232 送信部
233 受信部
234 記憶制御部
235 受付部
236 ノイズ付与部
237 減算部
S 情報処理システム
2 第1装置
3 第2装置
11 通信部
12 記憶部
13 制御部
21 通信部
22 記憶部
23 制御部
131 受信部
132 決定部
133 送信部
231 特定部
232 送信部
233 受信部
234 記憶制御部
235 受付部
236 ノイズ付与部
237 減算部
S 情報処理システム
【要約】
【課題】匿名化したデータ群を提供する場合にプライバシーリスクの増大を抑制する。
【解決手段】情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部131と、受信した属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部132と、プライバシー予算と、決定部132が決定した前予算消費量とを第1装置2に送信する送信部133と、を有する。
【選択図】図2
【解決手段】情報処理装置1は、複数の属性それぞれのデータを含むデータ群を管理する第1装置2から、属性の数を示す属性数情報と、複数の属性それぞれのデータの所定の期間における更新頻度を示す更新頻度情報とを受信する受信部131と、受信した属性数情報が示す属性の数と、更新頻度情報が示す更新頻度と、データ群に対して付与できるノイズの量を示すプライバシー予算とに基づいて、データ群に含まれる1つの属性のデータにノイズを1回付与するのに対して減少させるプライバシー予算の量である予算消費量を決定する決定部132と、プライバシー予算と、決定部132が決定した前予算消費量とを第1装置2に送信する送信部133と、を有する。
【選択図】図2
【図1】
【図2】
【図3】
【図4】
【図5】