ホーム > 特許ランキング > 株式会社NTTドコモ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-03
(45)【発行日】2024-12-11
(54)【発明の名称】プライバシー保護データ連携システム
(51)【国際特許分類】
G06F 21/62 20130101AFI20241204BHJP
【FI】
G06F21/62 345
【請求項の数】
10
(21)【出願番号】P 2023525393
(86)(22)【出願日】2022-02-22
(86)【国際出願番号】 JP2022007281
(87)【国際公開番号】W WO2022254821
(87)【国際公開日】2022-12-08
【審査請求日】2023-09-25
(31)【優先権主張番号】P 2021094104
(32)【優先日】2021-06-04
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】392026693
【氏名又は名称】株式会社NTTドコモ
(74)【代理人】
【識別番号】100088155
【弁理士】
【氏名又は名称】長谷川 芳樹
(74)【代理人】
【識別番号】100113435
【弁理士】
【氏名又は名称】黒木 義樹
(74)【代理人】
【識別番号】100121980
【弁理士】
【氏名又は名称】沖山 隆
(74)【代理人】
【識別番号】100128107
【弁理士】
【氏名又は名称】深石 賢治
(74)【代理人】
【識別番号】100123995
【弁理士】
【氏名又は名称】野田 雅一
(72)【発明者】
【氏名】野澤 一真
(72)【発明者】
【氏名】中川 智尋
(72)【発明者】
【氏名】佐々木 一也
(72)【発明者】
【氏名】寺田 雅之
【審査官】松平 英
(56)【参考文献】
【文献】特表2020-507826(JP,A)
【文献】米国特許第10541983(US,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
21/00-21/88
G09C 1/00-5/00
H04K 1/00-3/00
H04L 9/00-9/40
(57)【特許請求の範囲】
【請求項1】
ユーザIDとユーザに関する個人情報とを含むユーザデータを保持する複数の装置を備え、前記装置の各々は、
前記ユーザデータを非識別化して非識別化データを生成する非識別化処理部と、
前記非識別化データを対象として自己の装置が保持する自己の暗号鍵を用いて暗号化する1回目の暗号化と、相手方の装置から受信した1回目の暗号化済の非識別化データを対象として前記自己の暗号鍵を用いて2回目の暗号化を行う暗号化部と、
2回目の暗号化済の非識別化データと、相手方の装置から受信した2回目の暗号化済の非識別化データを突合して、予め定められた前記ユーザデータの構造情報に基づき特定されるユーザID対応部分が一致した2回目の暗号化済の非識別化データの数を、対象ユーザの数として集計する集計処理部と、
を含み、
前記非識別化処理部は、前記ユーザIDへの不可逆変換処理を含む非識別化処理を行い、
前記暗号化部は、鍵付き一方向性可換な演算により暗号化する、
プライバシー保護データ連携システム。
【請求項2】
ユーザIDとユーザに関する個人情報とを含むユーザデータを保持する複数の装置を備え、前記装置の各々は、
前記ユーザデータを非識別化して非識別化データを生成する非識別化処理部と、
前記非識別化データを対象として第一の装置である自己の装置が保持する第一暗号鍵を用いて暗号化する1回目の暗号化と、第二の装置から受信した1回目の暗号化済の非識別化データを対象として前記第一暗号鍵を用いて2回目の暗号化を行う暗号化部と、
第三の装置として、前記第一の装置の2回目の暗号化済の非識別化データと、前記第二の装置の2回目の暗号化済の非識別化データとを突合し、予め定められた前記ユーザデータの構造情報に基づき特定されるユーザID対応部分が一致した2回目の暗号化済の非識別化データの数を、対象ユーザの数として集計する集計処理部と、
を含み、
前記非識別化処理部は、前記ユーザIDへの不可逆変換処理を含む非識別化処理を行い、
前記暗号化部は、鍵付き一方向性可換な演算により暗号化する、
プライバシー保護データ連携システム。
【請求項3】
ユーザIDとユーザに関する個人情報とを含むユーザデータを保持し暗号化する複数の暗号化装置と、集計装置と、を備え、前記暗号化装置の各々は、
前記ユーザデータを非識別化して非識別化データを生成する非識別化処理部と、
前記非識別化データを対象として自己の装置が保持する自己の暗号鍵を用いて暗号化する1回目の暗号化と、相手方の装置から受信した1回目の暗号化済の非識別化データを対象として前記自己の暗号鍵を用いて2回目の暗号化を行う暗号化部と、
を含み、
前記集計装置は、
前記暗号化装置から受信した2回目の暗号化済の非識別化データと、前記暗号化装置の相手方の装置から受信した2回目の暗号化済の非識別化データを突合して、予め定められた前記ユーザデータの構造情報に基づき特定されるユーザID対応部分が一致した2回目の暗号化済の非識別化データの数を、対象ユーザの数として集計する集計処理部、
を含み、
前記非識別化処理部は、前記ユーザIDへの不可逆変換処理を含む非識別化処理を行い、
前記暗号化部は、鍵付き一方向性可換な演算により暗号化する、
プライバシー保護データ連携システム。
【請求項4】
前記非識別化処理部は、前記個人情報が満たすべき条件に基づいて前記ユーザデータを抽出し、抽出したユーザデータに対応する非識別化データを生成する、請求項1~3の何れか一項に記載のプライバシー保護データ連携システム。
【請求項5】
前記非識別化処理部は、前記個人情報が満たすべき条件が、複数通りの条件を含む場合、前記個人情報が前記複数通りの条件の各々を満たすユーザデータのグループに対応する、グループ化された非識別化データを生成する、請求項4に記載のプライバシー保護データ連携システム。
【請求項6】
前記不可逆変換処理は、ハッシュ化処理を含む、請求項1~5の何れか一項に記載のプライバシー保護データ連携システム。
【請求項7】
前記非識別化処理部は、前記ユーザIDへのハッシュ化処理を実行した後、当該ハッシュ化処理で用いたソルトを破棄する、請求項6に記載のプライバシー保護データ連携システム。
【請求項8】
前記非識別化処理部は、さらに前記個人情報へのプライバシー保護のための処理を実行する、請求項1~7の何れか一項に記載のプライバシー保護データ連携システム。
【請求項9】
前記装置の各々は、前記集計処理部により得られた集計結果を対象として秘匿処理を実行して、秘匿された統計情報を生成する秘匿処理部、
をさらに含む、請求項1又は2に記載のプライバシー保護データ連携システム。
【請求項10】
前記集計装置は、前記集計処理部により得られた集計結果を対象として秘匿処理を実行して、秘匿された統計情報を生成する秘匿処理部、
をさらに含む、請求項3に記載のプライバシー保護データ連携システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、プライバシー保護データ連携システムに関する。
【背景技術】
【0002】
複数の組織の情報処理装置(コンピュータ、サーバ等を広く含む装置であり、以下では「装置」と称する)においてデータベース上で管理されているユーザデータを対象として統計分析などを行う際に、当該ユーザデータが個人情報を含む場合、プライバシー保護の観点から何らかの対策を講じる必要がある。上記対策の一例として、秘匿化の対象となるデータと開示してもよいデータとを同時に取り扱えるインタフェースを持つシステム構成によって、秘匿化の対象となるデータを秘匿したまま、上記両方のデータを統合する技術が知られている(下記の特許文献1)。また、個人情報を含むユーザデータを複数の装置同士で統合する際に、それぞれの個人情報のIDに可逆の暗号化処理と不可逆の暗号化処理の両方を施すことで、第三者によって元のIDが復元されることを困難にし、個人情報を保護する技術が知られている(下記の特許文献2)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2011-081301号公報
【文献】特開2010-211590号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1の技術では、入力されたユーザデータの中から秘匿化の対象となるデータを選択することが必須とされており、開示してもよいデータがユーザデータに含まれない場合、即ち、入力されたユーザデータ全体を秘匿化の対象とする場合までは想定されておらず、この点で改良の余地がある。特許文献2の技術では、可逆の暗号化処理と不可逆の暗号化処理の両方を施すことが必須とされ、可逆の暗号化処理が残存するため、復元される可能性が残る点で改良の余地がある。また、特許文献1、2に共通して、処理結果と個人との対応関係が推定される可能性を完全には排除できていない点で、プライバシー保護の観点から改良の余地がある。
【0005】
本開示は、個人情報を保持した複数の装置間で連携することで、個人情報の内容を他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することを目的とする。
【課題を解決するための手段】
【0006】
本開示に係るプライバシー保護データ連携システムは、ユーザIDとユーザに関する個人情報とを含むユーザデータを保持する複数の装置、を備え、前記複数の装置のうち一の装置と相手方の装置との連携により、対象ユーザの数に関する統計情報を生成するプライバシー保護データ連携システムであって、前記装置の各々は、自己の装置が保持するユーザデータを対象として、前記ユーザIDへの不可逆変換処理および前記個人情報へのプライバシー保護のための処理を実行し、前記対象ユーザの抽出のために前記ユーザデータ内の個人情報が満たすべき条件に基づいて、個人情報が当該条件を満たすユーザデータに対応する非識別化データを生成する非識別化処理部と、前記一の装置である自己の装置の前記非識別化処理部により生成された非識別化データを対象として、前記自己の装置が保持する自己暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行し、前記相手方の装置との交換により得られた前記相手方の装置が保持する相手方暗号鍵および前記鍵付き一方向性可換な演算に基づく1回目の暗号化後の非識別化データを対象として、前記自己暗号鍵および前記鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、前記自己暗号鍵と前記相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する暗号化部と、前記相手方の装置の前記暗号化部により生成された二重暗号化済非識別化データと、自己の装置の前記暗号化部により生成された二重暗号化済非識別化データとを突合し、予め定められた前記ユーザデータの構造情報に基づき特定されるユーザID対応部分が一致した二重暗号化済非識別化データの数をカウントすることで、前記対象ユーザの数を集計する集計処理部と、前記集計処理部により得られた集計結果を対象として秘匿処理を実行して、秘匿された統計情報を生成する秘匿処理部と、を含む。
【0007】
上記のプライバシー保護データ連携システムでは、複数の装置の各々が上述した構成要素を含むため、複数の装置のうち一の装置および相手方の装置の各装置の非識別化処理部が、自己の装置が保持するユーザデータを対象として、ユーザIDへの不可逆変換処理および個人情報へのプライバシー保護のための処理を実行し、対象ユーザの抽出のために個人情報が満たすべき条件に基づいて、個人情報が当該条件を満たすユーザデータに対応する非識別化データを生成し、各装置の暗号化部が、自己の装置の非識別化処理部により生成された非識別化データを対象として、自己の装置が保持する自己暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行し、相手方の装置との交換により得られた相手方の装置が保持する相手方暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化後の非識別化データを対象として、自己暗号鍵および鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、自己暗号鍵と相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する。このような暗号化により、各装置の暗号化部は、自己の装置が保持する暗号化されていないユーザデータ内の個人情報も自己暗号鍵も、相手方の装置に明かすことなく、自己暗号鍵と相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成できる。また、計2回の暗号化とも、鍵付き一方向性可換な演算に基づくため、一の装置において生成された二重暗号化済非識別化データと、相手方の装置において生成された二重暗号化済非識別化データとで、予め定められたユーザデータの構造情報に基づき特定されるユーザID対応部分の一致/不一致に応じて、上記2つの二重暗号化済非識別化データが同一ユーザのユーザデータに対応するものか否かを判断可能である。
【0008】
そこで、一の装置の集計処理部は、自己の装置の暗号化部により生成された二重暗号化済非識別化データと、相手方の装置の暗号化部により生成された二重暗号化済非識別化データとを突合し、ユーザID対応部分が一致した二重暗号化済非識別化データの数をカウントすることで、対象ユーザの数を集計し、一の装置の秘匿処理部は、上記の集計結果を対象として秘匿処理を実行して、秘匿された統計情報を生成する。以上のようにして、ユーザデータ(個人情報を含む)を保持した複数の装置間で連携することで、個人情報の内容を他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することができる。このような有用な統計情報は、各装置を保持する組織の双方にとって広告施策、集客施策などに有効に活用することができる。
【発明の効果】
【0009】
本開示によれば、個人情報を保持した複数の装置間で連携することで、個人情報の内容を他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することができる。
【図面の簡単な説明】
【0010】
【図1】本開示の実施形態に係るプライバシー保護データ連携システムの構成図である。
【図2】本開示の実施形態に係るプライバシー保護データ連携システムにおいて実行される処理を示すフロー図である。
【図3】(a)はA社の装置による非識別化データの生成処理を説明するための図であり、(b)はB社の装置による非識別化データの生成処理を説明するための図である。
【図4】(a)はA社の装置による非識別化データのグループ分けを説明するための図であり、(b)はB社の装置による非識別化データのグループ分けを説明するための図である。
【図5】A社およびB社の装置による非識別化データの暗号化処理を説明するための図である。
【図7】(a)は利用あり且つ来店ありのユーザ数の集計処理を説明するための図であり、(b)は利用あり且つ来店なしのユーザ数の集計処理を説明するための図であり、(c)は利用なし且つ来店ありのユーザ数の集計処理を説明するための図であり、(d)は利用なし且つ来店なしのユーザ数の集計処理を説明するための図である。
【図8】秘匿処理を説明するための図である。
【図9】第1変形例に係るプライバシー保護データ連携システムの構成図である。
【図10】第1変形例に係るプライバシー保護データ連携システムにおいて実行される処理を示すフロー図である。
【図11】第2変形例に係るプライバシー保護データ連携システムの構成図である。
【図12】第2変形例に係るプライバシー保護データ連携システムにおいて実行される処理を示すフロー図である。
【図13】各装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0011】
以下、図面を参照しながら、本開示に係るプライバシー保護データ連携システムの実施形態を説明する。
【0012】
(プライバシー保護データ連携システムの構成)
図1に示すように、本開示に係るプライバシー保護データ連携システム1は、相互に通信可能な複数の装置10を備え、後述するように、複数の装置10のうち一の装置と相手方の装置との連携によって、対象ユーザの数に関する統計情報が生成される。即ち、一の装置と相手方の装置が共に、後述する「非識別化データの生成」および「非識別化データの暗号化」を実行した後、相手方の装置から二重暗号化済非識別化データを受信した一の装置が「集計処理」および「秘匿処理」を実行して、統計情報を生成する。なお、図1には、説明の便宜上、2台の装置10A、10Bを示すが、3台以上の装置を備えてよい。後述の処理では、A社の装置10Aが「一の装置」として、B社の装置10Bが「相手方の装置」として動作する例を説明するが、各装置10は、後述する同じ機能ブロック構成を備え、「一の装置」として動作することもあれば、「相手方の装置」として動作することもある。
図1に示すように、本開示に係るプライバシー保護データ連携システム1は、相互に通信可能な複数の装置10を備え、後述するように、複数の装置10のうち一の装置と相手方の装置との連携によって、対象ユーザの数に関する統計情報が生成される。即ち、一の装置と相手方の装置が共に、後述する「非識別化データの生成」および「非識別化データの暗号化」を実行した後、相手方の装置から二重暗号化済非識別化データを受信した一の装置が「集計処理」および「秘匿処理」を実行して、統計情報を生成する。なお、図1には、説明の便宜上、2台の装置10A、10Bを示すが、3台以上の装置を備えてよい。後述の処理では、A社の装置10Aが「一の装置」として、B社の装置10Bが「相手方の装置」として動作する例を説明するが、各装置10は、後述する同じ機能ブロック構成を備え、「一の装置」として動作することもあれば、「相手方の装置」として動作することもある。
【0013】
また、各装置10は、「ユーザID」とユーザに関する「個人情報」とを含むユーザデータを図示しない内蔵するメモリに保持している。このうち上記の「ユーザID」は、各装置間で共通のデータ形式とされているが、上記の「個人情報」は、情報の種類が装置ごとに予め定められており、各装置間で必ずしも共通ではない。例えば、図3(a)の上段に示すA社の装置10Aが保持するユーザデータは、ユーザIDに相当する「氏名」および「生年月日」と、個人情報に相当する「性別」、「年代」および「利用状況」とを含み、一方、図3(b)の上段に示すB社の装置10Bが保持するユーザデータは、ユーザIDに相当する「氏名」および「生年月日」と、個人情報に相当する「来店情報」および「購買情報」とを含む。このようにユーザIDに相当する「氏名」および「生年月日」は共通のデータ形式であるが、個人情報に相当する情報の種類は両者で相違する。例えば、上記のA社の個人情報に含まれる「利用状況」は、A社が提供するサービスを利用している/利用していない(利用の有無)を表す情報であり、上記のB社の個人情報に含まれる「来店情報」は、B社が運営する店に来店したことがある/来店したことがない(来店の有無)を表す情報であり、「購買情報」は、来店した際に購買した商品(パーソナルコンピュータ(PC)、電子レンジなど)を表す情報である。なお、各装置10が保持するユーザデータの構造情報は、予め装置間で共有されており、当該構造情報に基づいて、後述する各装置10において生成された二重暗号化済非識別化データにおける「ユーザID対応部分」は特定可能であり、後述する二重暗号化済非識別化データ同士の「ユーザID対応部分」の突合が可能とされている。
【0014】
以下、A社の装置10Aを例にとって、各装置10の機能ブロック構成を説明する。図1に示すように、装置10Aは、非識別化処理部11、暗号化部12、集計処理部13、および、秘匿処理部14を備える。
【0015】
このうち、非識別化処理部11は、自己の装置10Aが保持するユーザデータを対象として、ユーザIDへの不可逆変換処理および個人情報へのプライバシー保護のための処理を実行し、対象ユーザの抽出のためにユーザデータ内の個人情報が満たすべき条件に基づいて、個人情報が当該条件を満たすユーザデータに対応する非識別化データを生成する機能部である。
【0016】
なお、本実施形態では、A社の装置10AとB社の装置10Bとで連携して、A社のユーザデータにおける個人情報「利用状況」(利用あり/利用なし)とB社のユーザデータにおける個人情報「来店情報」(来店あり/来店なし)との組合せに応じた計4通りの条件を対象ユーザの抽出のための条件とし、それらの条件ごとに対象ユーザ数を集計し統計情報を生成する処理を後述する。また、本実施形態では、「不可逆変換処理」の一例として、予め装置10間で共有されたハッシュ関数を用いたハッシュ化処理を実行する例を説明するが、不可逆変換処理はハッシュ化処理に限定されるものではない。また、「プライバシー保護」の一例として、k-匿名化を説明するが、l-多様性、t-近似性といった別の手法を用いてもよく、2つ以上の手法の組合せを用いてもよい。
【0017】
暗号化部12は、一の装置である自己の装置10Aと相手方の装置10Bとで、以下のように連携することで、自己の装置10Aが保持する自己暗号鍵と相手方の装置10Bが保持する相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する機能部である。即ち、暗号化部12は、自己の装置10Aの非識別化処理部11により生成された非識別化データを対象として、自己暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行し、相手方の装置10B(即ち、装置10Bの非識別化処理部11により生成された非識別化データを対象として相手方暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行した相手方の装置10B)との間で1回目の暗号化後の非識別化データを相互に交換し、さらに、相手方の装置10Bから受信した1回目の暗号化後の非識別化データを対象として、自己暗号鍵および鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、自己暗号鍵と相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する。このとき、相手方の装置10Bの暗号化部12も上記と同様に、相手方暗号鍵および鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、自己暗号鍵と相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する。なお、暗号化部12による非識別化データを対象とした暗号化処理は、非識別化データにおける「ユーザIDに対応する部分」と「個人情報に対応する部分」とを分けて実行される。
【0018】
上記のような暗号化において、装置10A、10B間で交換される1回目の暗号化後の非識別化データは、自己の装置には明かされていない相手方の暗号鍵に基づいて暗号化されているため、自己の装置は当該非識別化データを復号することができず、当該非識別化データの内容(個人情報等)を認知することはできない。相手方の装置も同様に、交換により得た1回目の暗号化後の非識別化データを復号することができず、当該非識別化データの内容(個人情報等)を認知することはできない。このように、暗号化部12は、自己の装置10Aが保持する暗号化されていないユーザデータ内の個人情報も自己暗号鍵も、相手方の装置10Bに明かすことなく、自己暗号鍵と相手方暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成できる。また、計2回の暗号化とも、鍵付き一方向性可換な演算に基づく暗号化であるため、自己の装置10Aにおいて生成された二重暗号化済非識別化データと、相手方の装置10Bにおいて生成された二重暗号化済非識別化データとについて、予め装置10A、10B間で共有されたユーザデータの構造情報に基づき特定されるユーザID対応部分のビット列の一致/不一致に応じて、上記2つの二重暗号化済非識別化データが同一ユーザのユーザデータに対応するものか否かを判断できる。
【0019】
集計処理部13は、相手方の装置10Bの暗号化部12により生成された二重暗号化済非識別化データと、自己の装置10Aの暗号化部12により生成された二重暗号化済非識別化データとを突合し、「ユーザIDに対応する部分」が一致した二重暗号化済非識別化データの数をカウントすることで、対象ユーザの数を集計する機能部である。上述したように、これら2つの二重暗号化済非識別化データ同士で、ユーザデータのデータ構造に基づき特定される「ユーザIDに対応する部分」の一致/不一致に応じて、上記2つの二重暗号化済非識別化データが同一ユーザのユーザデータに対応するものか否かを判断できるため、集計処理部13は、上記突合の結果、「ユーザIDに対応する部分」が一致した二重暗号化済非識別化データの数、つまり、同一ユーザのユーザデータに対応すると判断される二重暗号化済非識別化データの数をカウントすることで、個人情報が対象ユーザの条件を満たす二重暗号化済非識別化データの数に相当する「対象ユーザの数」を集計する。
【0020】
秘匿処理部14は、集計処理部13により得られた集計結果を対象として秘匿処理を実行して、秘匿された統計情報を生成する機能部である。なお、本実施形態では、「秘匿処理」の一例として、ある一定以上の強度を持つノイズを付与する秘匿処理、即ち、差分プライバシーに基づいた秘匿処理を実行する例を説明するが、秘匿処理は差分プライバシーに基づいた秘匿処理に限定されるものではない。
【0021】
【0022】
(プライバシー保護データ連携システムにおいて実行される処理)
以下、A社の装置10Aが「一の装置」として、B社の装置10Bが「相手方の装置」として動作する例を説明する。
以下、A社の装置10Aが「一の装置」として、B社の装置10Bが「相手方の装置」として動作する例を説明する。
【0023】
A社の装置10Aでは、非識別化処理部11が、自己の装置10Aが保持するユーザデータにおける個人情報である「対象属性情報」をk-匿名化し(ステップA1)、同ユーザデータにおける「ユーザID」を対象として、予め装置10間で共有されたハッシュ関数を用いたハッシュ化処理を実行し、その後、同ハッシュ化処理で用いたソルトを破棄する(ステップA2)。上記ステップA1、A2の処理を図3(a)に基づき補足すると、処理されるユーザデータが、「ユーザID」に対応する氏名「山田太郎」および生年月日「2000年1月1日」を含む例では、後続処理のために、氏名および生年月日を「氏名+YYYYMMDD」の形式である「山田太郎20000101」に様式変更するとともに、「対象属性情報」に対応する性別、年代および利用状況をk-匿名化し、さらに、ソルトを用いて「ユーザID」にハッシュ化処理を実行して、ユーザIDをハッシュ値に変換し、その後、ソルトを破棄する。これにより、「ユーザID」に対応するハッシュ値「a12f7d9」と、k-匿名化済みの「対象属性情報」とを含む非識別化データが取得される。
【0024】
前述したように、本実施形態では、A社のユーザデータにおける個人情報「利用状況」(利用あり/利用なし)とB社のユーザデータにおける個人情報「来店情報」(来店あり/来店なし)との組合せに応じた計4通りの条件を対象ユーザの抽出のための条件として、それらの条件ごとに対象ユーザ数が集計され統計情報が生成される例を説明する。そこで、A社の装置10Aの非識別化処理部11は、対象属性情報を二値化し(ステップA3)、対象属性情報のビット列ごとに分離する(ステップA4)。ここで、図4(a)に基づいて、上記ステップA3、A4の処理を補足説明する。なお、図4(a)では、説明を容易にするために、個人情報に相当する対象属性情報として「利用状況」(利用あり/利用なし)のみに着目した例を示す。後述する図4(b)も同様に、個人情報に相当する対象属性情報として「来店情報」(来店あり/来店なし)のみに着目した例を示す。
【0025】
図4(a)の上段のように、処理される非識別化データが、ユーザIDに対応する「ハッシュ値」および対象属性情報に対応する「利用状況(1:あり、0:なし)」を含む場合、非識別化処理部11は、対象属性情報を利用状況(1:あり、0:なし)」に応じて二値化する。このとき、図4(a)の中段のように、例えば、ハッシュ値「4a3」のデータは、利用状況ありなので、「利用状況あり」のビットを「1」、「利用状況なし」のビットを「0」とするデータに変換され、一方、ハッシュ値「3c0」のデータは、利用状況なしなので、「利用状況あり」のビットを「0」、「利用状況なし」のビットを「1」とするデータに変換される。そして、非識別化処理部11は、対象属性情報のビット列(ここでは「10」又は「01」)ごとに非識別化データを分離し、その結果、図4(a)の下段のように、対象属性情報のビット列が「10」であるグループと、対象属性情報のビット列が「01」であるグループとに分離される。
【0026】
また、B社の装置10Bにおいても同様に、非識別化処理部11が、装置10Bが保持するユーザデータにおける「対象属性情報」をk-匿名化し(ステップB1)、同ユーザデータにおける「ユーザID」を予め装置10間で共有されたハッシュ関数によってハッシュ化し、その後、同ハッシュ化で用いたソルトを破棄する(ステップB2)。図3(b)に基づき補足すると、処理される生データが、「ユーザID」に対応する氏名「山田太郎」および生年月日「2000年1月1日」を含む例では、後続処理のために、氏名および生年月日の部分を「氏名+YYYYMMDD」の形式(即ち、YYYYが「年」、MMが「月」、DDが「日」をそれぞれ表す形式)である「山田太郎20000101」に様式変更するとともに、「対象属性情報」に対応する来店店舗および購買情報の部分をk-匿名化し、さらに、ソルトを用いて「ユーザID」にハッシュ化処理を実行して、ユーザIDをハッシュ値に変換し、その後、ソルトを破棄する。これにより、「ユーザID」に対応するハッシュ値「a12f7d9」と、k-匿名化済みの「対象属性情報」とを含む非識別化データが取得される。
【0027】
さらに、B社の装置10Bの非識別化処理部11は、対象属性情報を二値化し(ステップB3)、対象属性情報のビット列ごとに分離する(ステップB4)。ここで図4(b)に基づき上記ステップB3、B4の処理を補足説明すると、処理される非識別化データが図4(b)の上段のようにユーザIDに対応する「ハッシュ値」および対象属性情報に対応する「来店情報(1:あり、0:なし)」を含む例では、非識別化処理部11は、対象属性情報を来店情報(1:あり、0:なし)」に応じて二値化する。このとき、図4(b)の中段のように、例えば、ハッシュ値「4a3」のデータは、来店情報ありなので、「来店情報あり」のビットを「1」、「来店情報なし」のビットを「0」とするデータに変換され、ハッシュ値「3c0」のデータは、来店情報なしなので、「来店情報あり」のビットを「0」、「来店情報なし」のビットを「1」とするデータに変換される。そして、非識別化処理部11は、対象属性情報のビット列(ここでは「10」又は「01」)ごとに非識別化データを分離し、その結果、図4(b)の下段のように、対象属性情報のビット列が「10」であるグループと、対象属性情報のビット列が「01」であるグループとに分離される。
【0028】
次に、A社の装置10AとB社の装置10Bとで連携して、以下のような図5に示す非識別化データの暗号化が実行される。
【0029】
A社の装置10Aでは、暗号化部12が、装置10Aの非識別化処理部11により生成された非識別化データを対象として、装置10Aが保持する暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行する(図2のステップA5;図5の処理(1A))。また、B社の装置10Bでは、暗号化部12が、装置10Bの非識別化処理部11により生成された非識別化データを対象として、装置10Bが保持する暗号鍵および鍵付き一方向性可換な演算に基づく1回目の暗号化を実行する(図2のステップB5;図5の処理(1B))。そして、装置10A、10Bの間で、1回目の暗号化後の非識別化データが交換される(図2のステップA6、B6;図5の処理(2))。装置10A、10Bの間で交換される1回目の暗号化後の非識別化データは、自己の装置には明かされていない相手方の暗号鍵に基づいて暗号化されているため、自己の装置は当該非識別化データを復号することができず、当該非識別化データの内容(個人情報等)を認知することはできない。相手方の装置も同様に、交換により得た1回目の暗号化後の非識別化データを復号することができず、当該非識別化データの内容(個人情報等)を認知することはできない。
【0030】
そして、A社の装置10Aでは、暗号化部12が、相手方の装置10Bから受信した1回目の暗号化後の非識別化データを対象として、装置10Aが保持する暗号鍵および鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、これにより、装置10Aの暗号鍵と装置10Bの暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する(図2のステップA7;図5の処理(3A))。また、B社の装置10Bでは、暗号化部12が、相手方の装置10Aから受信した1回目の暗号化後の非識別化データを対象として、装置10Bが保持する暗号鍵および鍵付き一方向性可換な演算に基づく2回目の暗号化を実行して、これにより、装置10Aの暗号鍵と装置10Bの暗号鍵とを用いた二重暗号化後の二重暗号化済非識別化データを生成する(図2のステップB7;図5の処理(3B))。
【0031】
さらに、B社の装置10Bの暗号化部12は、ステップB7で得られた二重暗号化済非識別化データをA社の装置10Aの暗号化部12へ送信し(ステップB8;図5の処理(4))、A社の装置10Aの暗号化部12は、B社の装置10Bからの二重暗号化済非識別化データを受信する(ステップA8)。
【0032】
ここで、図6を用いて、上記の暗号化処理を補足説明する。A社のデータをa、B社のデータをbとし、A社の装置10Aが保持する秘密鍵をka、B社の装置10Bが保持する秘密鍵をkbとし、秘密鍵kでxを暗号化する処理をfk(x)(但し、fk(x)は鍵付き一方向性可換ハッシュ関数)とすると、1回目暗号化により、fka(a)とfkb(b)が得られ、これらが装置10A、10B間で交換され、次に、A社の装置10Aでは、A社の秘密鍵kaを用いた2回目暗号化が実行されてfka(fkb(b))が得られ、B社の装置10BではB社の秘密鍵kbを用いた2回目暗号化が実行されてfkb(fka(a))が得られる。そして、B社の装置10BからA社の装置10Aへfkb(fka(a))が送信される。
【0033】
以上のように、A社の装置10A、B社の装置10Bとも、自己の装置が保持する秘密鍵ka、kbを相手方の装置へ明かすことなく、計2回の暗号化を実行する。また、fk(x)は鍵付き一方向性可換ハッシュ関数であるから、可換ハッシュ関数の特性より、a=bの場合、fkb(fka(a))=fka(fkb(b))が成立する。
【0034】
次に、A社の装置10Aにおいて、以下のような図7に示す、条件の組合せごとの集計処理が実行される。即ち、A社の装置10Aの集計処理部13は、条件の組合せごとに、2回目の暗号化後の二重暗号化済非識別化データ同士を突合し(図2のステップA9)、予め装置10A、10B間で共有されたユーザデータの構造情報に基づき特定される「ユーザID部分」が一致したデータ数をカウントすることで、対象ユーザ数を集計する(図2のステップA10)。
【0035】
ここで、図4(a)、(b)の処理で得られた二重暗号化済非識別化データ同士を突合する例を用いて、上記ステップA9、A10の処理を補足説明する。
【0036】
図7(a)に示す「利用あり且つ来店あり」という条件の組合せについては、二重暗号化後のユーザID(ハッシュ値)部分が一致したデータとして、ハッシュ値4a3のデータのみが得られた(突合可能であった)ため、二重暗号化後のユーザID部分が一致したデータ数のカウント値「1」が集計結果として得られる。図7(b)に示す「利用あり且つ来店なし」という条件の組合せについては、二重暗号化後のユーザID部分が一致したデータとして、ハッシュ値6f8のデータのみが得られた(突合可能であった)ため、二重暗号化後のユーザID部分が一致したデータ数のカウント値「1」が集計結果として得られる。
【0037】
同様に、図7(c)に示す「利用なし且つ来店あり」という条件の組合せについては、二重暗号化後のユーザID部分が一致したデータとして、ハッシュ値1e5のデータおよびハッシュ値5d9のデータの計2つのデータが得られた(突合可能であった)ため、二重暗号化後のユーザID部分が一致したデータ数のカウント値「2」が集計結果として得られる。図7(d)に示す「利用なし且つ来店なし」という条件の組合せについては、二重暗号化後のユーザID部分が一致したデータとして、ハッシュ値3c0のデータのみが得られた(突合可能であった)ため、二重暗号化後のユーザID部分が一致したデータ数のカウント値「1」が集計結果として得られる。
【0038】
次に、A社の装置10Aにおいて、秘匿処理部14は、ステップA10で得られた集計結果を対象として、差分プライバシーに基づいた秘匿処理を実行し、個人との対応関係が排斥された統計情報を生成・出力する(図2のステップA11)。上記の図7(a)~図7(d)で得られた集計結果を例にして説明すると、秘匿処理部14は、図8に示す「利用あり/なし」と「来店あり/なし」の組合せによる4通りの条件それぞれについての集計結果を対象として、差分プライバシーに基づいた秘匿処理を実行し、個人との対応関係が排斥された上記4通りの条件それぞれの統計情報(図8の例ではn1、n2、n3、n4)を生成・出力する。
【0039】
以上説明した本開示の実施形態により、A社の装置10AとB社の装置10B間で連携することで、各装置が保持する暗号化されていないユーザデータ内の個人情報も各装置の暗号鍵も、他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することができる。上記の例では、A社のサービスの「利用あり/なし」とB社の店舗への「来店あり/なし」の組合せによる4通りの条件それぞれの統計情報を生成することができ、プライバシーを保護しながらA社、B社間のデータ連携を実現し、有用な統計情報を取得できる。このような有用な統計情報は、A社、B社双方にとって広告施策、集客施策などに有効に活用することができる。
【0040】
また、非識別化処理部11は、対象ユーザの抽出のために個人情報が満たすべき条件が複数通りの条件を含む場合には、個人情報が複数通りの条件の各々を満たすユーザデータのグループに対応する非識別化データ(グループ化された非識別化データ)を生成する。そのため、複数通りの条件それぞれを満たす複数通りの対象ユーザの数に関する統計情報を得ることができる。
【0041】
また、暗号化部12は、相手方の装置の暗号化部12と連携して、前述した図5および図6に示す一連の処理(1回目暗号化→データの交換→2回目暗号化)を実行することで、A社の装置10A、B社の装置10Bとも、自己の装置が保持する秘密鍵ka、kbを相手方の装置へ明かすことなく、計2回の暗号化を実行することができ、これにより、上記秘密鍵ka、kbを用いた二重暗号化後の二重暗号化済非識別化データを生成することができる。
【0042】
また、非識別化処理部11により実行される不可逆変換処理は、ハッシュ化処理を含む。そのため、特殊な不可逆変換処理の適用を不要とし、ハッシュ化処理という一般的な不可逆変換処理を適用することができ、実施容易性を向上させることができる。
【0043】
また、非識別化処理部11は、ユーザIDへのハッシュ化処理を実行した後、当該ハッシュ化処理で用いたソルトを破棄する。このようにハッシュ化処理で用いたソルトを破棄することで、データの復元可能性を無くすことに万全を期すことができる。
【0044】
また、非識別化処理部11により実行されるプライバシー保護は、k-匿名化、l-多様性、および、t-近似性の少なくとも1つを含む。そのため、特殊なプライバシー保護の適用を不要とし、k-匿名化、l-多様性、t-近似性といった一般的なプライバシー保護を適用することができ、実施容易性を向上させることができる。
【0045】
また、秘匿処理部14により実行される秘匿処理は、差分プライバシーに基づく秘匿処理を含む。そのため、特殊な秘匿処理の適用を不要とし、差分プライバシーに基づく秘匿処理という一般的な秘匿処理を適用することができ、実施容易性を向上させることができる。
【0046】
(変形例について)
上述した本開示に係るプライバシー保護データ連携システムは、以下のような第1変形例、第2変形例を採用することができる。
上述した本開示に係るプライバシー保護データ連携システムは、以下のような第1変形例、第2変形例を採用することができる。
【0047】
第1変形例は、プライバシー保護データ連携システムを構成する複数の装置のうち、「一の装置」と「相手方の装置」にさらに「第三の装置」を加えた計3つの装置間の連携により、対象ユーザの数に関する統計情報を生成する形態である。第2変形例は、プライバシー保護データ連携システムが、暗号化処理までを実行する複数の暗号化装置と、集計処理以降を実行する集計装置、の2種類の装置により構成される形態である。以下、それぞれの変形例を順に説明する。
【0048】
(第1変形例)
図9に示すように、第1変形例に係るプライバシー保護データ連携システム1Aは、「一の装置」と「相手方の装置」にさらに「第三の装置」を加えた計3つの装置間の連携により、対象ユーザの数に関する統計情報を生成するシステムである。図9には、プライバシー保護データ連携システム1Aが、複数の装置10A、10B、10Cを含んで構成される例を示す。なお、図9には、説明の便宜上、3台の装置10A~10Cを示すが、4台以上の装置を備えてよい。
図9に示すように、第1変形例に係るプライバシー保護データ連携システム1Aは、「一の装置」と「相手方の装置」にさらに「第三の装置」を加えた計3つの装置間の連携により、対象ユーザの数に関する統計情報を生成するシステムである。図9には、プライバシー保護データ連携システム1Aが、複数の装置10A、10B、10Cを含んで構成される例を示す。なお、図9には、説明の便宜上、3台の装置10A~10Cを示すが、4台以上の装置を備えてよい。
【0049】
第1変形例では、A社の装置10Aが「一の装置」として、B社の装置10Bが「相手方の装置」として、C社の装置10Cが「第三の装置」として動作する例を説明するが、各装置は、同じ機能ブロック構成を備え、「一の装置」として動作することもあれば、「相手方の装置」として動作することもあるし、「第三の装置」として動作することもある。
【0050】
各装置が備える「非識別化処理部11」、「暗号化部12」、「集計処理部13」および「秘匿処理部14」の機能および作用効果は、前述の本開示の実施形態で説明した機能および作用効果と同様であるため、ここでは、重複した説明を省略する。なお、各装置が保持するユーザデータの構造情報は、予め装置間で共有されており、当該構造情報に基づいて、後述する装置10A、10Bそれぞれにおいて生成された二重暗号化済非識別化データにおける「ユーザID対応部分」は特定可能であり、後述する二重暗号化済非識別化データ同士の「ユーザID対応部分」の突合が可能とされている。
【0051】
図10には、第1変形例のプライバシー保護データ連携システム1Aにおいて実行される一連の処理を示す。なお、前述の本開示の実施形態で説明した図2と同様の処理には、同じ符号を付している。図10において、A社の装置10Aの非識別化処理部11により実行される非識別化データの生成に係る処理(ステップA1~A4)、A社の装置10Aの暗号化部12により実行される非識別化データの暗号化に係る処理(ステップA5~A8S)、B社の装置10Bの非識別化処理部11により実行される非識別化データの生成に係る処理(ステップB1~B4)、および、B社の装置10Bの暗号化部12により実行される非識別化データの暗号化に係る処理(ステップB5~B8)は、前述した図2の処理とほぼ同様であるため、重複した説明を省略する。但し、ステップA8S、B8では、2回目暗号化後の二重暗号化済非識別化データは、「第三の装置」として動作するC社の装置10Cへ送信される。
【0052】
A社の装置10AおよびB社の装置10Bの各々からの二重暗号化済非識別化データは、C社の装置10Cの集計処理部13により受信され(ステップC1)、以後、C社の装置10Cの集計処理部13は、前述した図2のステップA9と同様に、予め装置間で共有されたユーザデータの構造情報を参照して、装置10Aからの二重暗号化済非識別化データと、装置10Bからの二重暗号化済非識別化データとを突合し(ステップC2)、前述した図2のステップA10と同様に、ユーザID部分が一致したデータ数をカウントすることで、対象ユーザ数を集計する(ステップC3)。さらに、C社の装置10Cの秘匿処理部14は、前述した図2のステップA11と同様に、ステップC3で得られた集計結果を対象として、差分プライバシーに基づいた秘匿処理を実行し、個人との対応関係が排斥された統計情報を生成してA社の装置10AおよびB社の装置10Bの各々へ出力する(ステップC4)。
【0053】
以上のような第1変形例においても、プライバシーを保護しながら、A社の装置10Aと、B社の装置10Bと、C社の装置10Cとで相互にデータ連携を実現することで、A社、B社が保持する暗号化されていないユーザデータ内の個人情報も暗号鍵も、他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することができる。このようにプライバシーを保護しながら、A社、B社、C社間のデータ連携を実現し、有用な統計情報を取得できる。このような有用な統計情報は、ユーザデータを保持するA社、B社双方にとって広告施策、集客施策などに有効に活用することができる。
【0054】
(第2変形例)
図11に示すように、第2変形例に係るプライバシー保護データ連携システム1Bは、暗号化処理までを実行する暗号化装置10X、10Yと、集計処理以降を実行する集計装置10Z、の2種類の装置により構成され、これらの暗号化装置10X、10Y、および集計装置10Zの計3つの装置間の連携により、対象ユーザの数に関する統計情報を生成するシステムである。なお、図11には、説明の便宜上、2台の暗号化装置10X、10Y、および、1台の集計装置10Zを示すが、3台以上の暗号化装置、2台以上の集計装置を備えてよい。
図11に示すように、第2変形例に係るプライバシー保護データ連携システム1Bは、暗号化処理までを実行する暗号化装置10X、10Yと、集計処理以降を実行する集計装置10Z、の2種類の装置により構成され、これらの暗号化装置10X、10Y、および集計装置10Zの計3つの装置間の連携により、対象ユーザの数に関する統計情報を生成するシステムである。なお、図11には、説明の便宜上、2台の暗号化装置10X、10Y、および、1台の集計装置10Zを示すが、3台以上の暗号化装置、2台以上の集計装置を備えてよい。
【0055】
第2変形例は、前述した第1変形例とは、計3つの装置間の連携により対象ユーザの数に関する統計情報を生成する点で共通するが、暗号化処理までを専門的に実行する暗号化装置と、集計処理以降を専門的に実行する集計装置の計2種類の装置が存在する点で相違する。
【0056】
そのため、図11に示すように、暗号化装置10X、10Yの各々は、前述した図1、図9の各装置の構成要素のうち、「非識別化処理部11」および「暗号化部12」を備え、集計装置10Zは、前述した図1、図9の各装置の構成要素のうち、「集計処理部13」および「秘匿処理部14」を備える。これらの構成要素それぞれの機能および作用効果は、前述の本開示の実施形態で説明した機能および作用効果と同様であるため、ここでは、重複した説明を省略する。
【0057】
図12には、第2変形例のプライバシー保護データ連携システム1Bにおいて実行される一連の処理を示すが、前述の第1変形例で説明した図10と同様の処理には、同じ符号を付している。図12を図10と対比すれば明らかなように、一連のステップA1~A8S、B1~B8およびC1~C4の処理は、図10の処理と同様である。
【0058】
そのため、図11の暗号化装置10Xの非識別化処理部11、暗号化部12はそれぞれ、図9のA社の装置10Aの非識別化処理部11、暗号化部12と同様の動作を行い、図11の暗号化装置10Yの非識別化処理部11、暗号化部12はそれぞれ、図9のB社の装置10Aの非識別化処理部11、暗号化部12と同様の動作を行う。このとき、暗号化装置10X、10Yの各々において、プライバシーを保護しながら計2回の暗号化により生成された二重暗号化済非識別化データは、集計装置10Zの集計処理部13により受信され(図12のステップC1)、集計装置10Zの集計処理部13、秘匿処理部14はそれぞれ、図9のC社の装置10Cの集計処理部13、秘匿処理部14と同様の動作を行う。これにより、図12のステップC3で得られた集計結果を対象として、差分プライバシーに基づいた秘匿処理が実行され、個人との対応関係が排斥された統計情報が生成されて暗号化装置10X、10Yの各々へ出力される。
【0059】
以上のような第2変形例においても、プライバシーを保護しながら、暗号化装置10X、10Yと、集計装置10Zとで相互にデータ連携を実現することで、暗号化装置10X、10Yにて保持された暗号化されていないユーザデータ内の個人情報も暗号鍵も、他の装置に明かすことなく、個人との対応関係が排斥された統計情報を生成することができる。このようにプライバシーを保護しながら、暗号化装置10X、10Y、および集計装置10Z間のデータ連携を実現し、有用な統計情報を取得できる。このような有用な統計情報は、暗号化装置10Xを保持する組織と暗号化装置10Yを保持する組織の双方にとって広告施策、集客施策などに有効に活用することができる。
【0060】
(用語の説明、ハードウェア構成(図13)の説明など)
なお、上記の実施形態、変形例の説明に用いたブロック図は、機能単位のブロックを示している。これらの機能ブロック(構成部)は、ハードウェア及びソフトウェアの少なくとも一方の任意の組み合わせによって実現される。また、各機能ブロックの実現方法は特に限定されない。すなわち、各機能ブロックは、物理的又は論理的に結合した1つの装置を用いて実現されてもよいし、物理的又は論理的に分離した2つ以上の装置を直接的又は間接的に(例えば、有線、無線などを用いて)接続し、これら複数の装置を用いて実現されてもよい。機能ブロックは、上記1つの装置又は上記複数の装置にソフトウェアを組み合わせて実現されてもよい。
なお、上記の実施形態、変形例の説明に用いたブロック図は、機能単位のブロックを示している。これらの機能ブロック(構成部)は、ハードウェア及びソフトウェアの少なくとも一方の任意の組み合わせによって実現される。また、各機能ブロックの実現方法は特に限定されない。すなわち、各機能ブロックは、物理的又は論理的に結合した1つの装置を用いて実現されてもよいし、物理的又は論理的に分離した2つ以上の装置を直接的又は間接的に(例えば、有線、無線などを用いて)接続し、これら複数の装置を用いて実現されてもよい。機能ブロックは、上記1つの装置又は上記複数の装置にソフトウェアを組み合わせて実現されてもよい。
【0061】
機能には、判断、決定、判定、計算、算出、処理、導出、調査、探索、確認、受信、送信、出力、アクセス、解決、選択、選定、確立、比較、想定、期待、見做し、報知(broadcasting)、通知(notifying)、通信(communicating)、転送(forwarding)、構成(configuring)、再構成(reconfiguring)、割り当て(allocating、mapping)、割り振り(assigning)などがあるが、これらに限られない。たとえば、送信を機能させる機能ブロック(構成部)は、送信部(transmitting unit)、送信機(transmitter)と呼称される。いずれも、上述したとおり、実現方法は特に限定されない。
【0062】
例えば、本開示の一実施の形態における装置は、本実施形態における処理を行うコンピュータとして機能してもよい。図13は、本開示の一実施の形態に係る装置10のハードウェア構成例を示す図である。装置10は、前述した装置10A~10C、暗号化装置10X、10Yおよび集計装置10Zを総称したものである。上述の装置10は、物理的には、プロセッサ1001、メモリ1002、ストレージ1003、通信装置1004、入力装置1005、出力装置1006、バス1007などを含むコンピュータ装置として構成されてもよい。
【0063】
なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニットなどに読み替えることができる。装置10のハードウェア構成は、図に示した各装置を1つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
【0064】
装置10における各機能は、プロセッサ1001、メモリ1002などのハードウェア上に所定のソフトウェア(プログラム)を読み込ませることによって、プロセッサ1001が演算を行い、通信装置1004による通信を制御したり、メモリ1002及びストレージ1003におけるデータの読み出し及び書き込みの少なくとも一方を制御したりすることによって実現される。
【0065】
プロセッサ1001は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ1001は、周辺装置とのインタフェース、制御装置、演算装置、レジスタなどを含む中央処理装置(CPU:Central Processing Unit)によって構成されてもよい。
【0066】
また、プロセッサ1001は、プログラム(プログラムコード)、ソフトウェアモジュール、データなどを、ストレージ1003及び通信装置1004の少なくとも一方からメモリ1002に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施の形態において説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。上述の各種処理は、1つのプロセッサ1001によって実行される旨を説明してきたが、2以上のプロセッサ1001により同時又は逐次に実行されてもよい。プロセッサ1001は、1以上のチップによって実装されてもよい。なお、プログラムは、電気通信回線を介してネットワークから送信されても良い。
【0067】
メモリ1002は、コンピュータ読み取り可能な記録媒体であり、例えば、ROM(Read Only Memory)、EPROM(Erasable Programmable ROM)、EEPROM(Electrically Erasable Programmable ROM)、RAM(Random Access Memory)などの少なくとも1つによって構成されてもよい。メモリ1002は、レジスタ、キャッシュ、メインメモリ(主記憶装置)などと呼ばれてもよい。メモリ1002は、本開示の一実施の形態に係る無線通信方法を実施するために実行可能なプログラム(プログラムコード)、ソフトウェアモジュールなどを保存することができる。
【0068】
ストレージ1003は、コンピュータ読み取り可能な記録媒体であり、例えば、CD-ROM(Compact Disc ROM)などの光ディスク、ハードディスクドライブ、フレキシブルディスク、光磁気ディスク(例えば、コンパクトディスク、デジタル多用途ディスク、Blu-ray(登録商標)ディスク)、スマートカード、フラッシュメモリ(例えば、カード、スティック、キードライブ)、フロッピー(登録商標)ディスク、磁気ストリップなどの少なくとも1つによって構成されてもよい。ストレージ1003は、補助記憶装置と呼ばれてもよい。上述の記憶媒体は、例えば、メモリ1002及びストレージ1003の少なくとも一方を含むデータベース、その他の適切な媒体であってもよい。
【0069】
通信装置1004は、有線ネットワーク及び無線ネットワークの少なくとも一方を介してコンピュータ間の通信を行うためのハードウェア(送受信デバイス)であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。
【0070】
入力装置1005は、外部からの入力を受け付ける入力デバイス(例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、センサなど)である。出力装置1006は、外部への出力を実施する出力デバイス(例えば、ディスプレイ、スピーカー、LEDランプなど)である。なお、入力装置1005及び出力装置1006は、一体となった構成(例えば、タッチパネル)であってもよい。 また、プロセッサ1001、メモリ1002などの各装置は、情報を通信するためのバス1007によって接続される。バス1007は、単一のバスを用いて構成されてもよいし、装置間ごとに異なるバスを用いて構成されてもよい。
【0071】
本開示において説明した各態様/実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、所定の情報の通知(例えば、「Xであること」の通知)は、明示的に行うものに限られず、暗黙的(例えば、当該所定の情報の通知を行わない)ことによって行われてもよい。
【0072】
以上、本開示について詳細に説明したが、当業者にとっては、本開示が本開示中に説明した実施形態に限定されるものではないということは明らかである。本開示は、請求の範囲の記載により定まる本開示の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本開示の記載は、例示説明を目的とするものであり、本開示に対して何ら制限的な意味を有するものではない。
【0073】
本開示において説明した各態様/実施形態の処理手順、シーケンス、フローチャートなどは、矛盾の無い限り、順序を入れ替えてもよい。例えば、本開示において説明した方法については、例示的な順序を用いて様々なステップの要素を提示しており、提示した特定の順序に限定されない。
【0074】
入出力された情報等は特定の場所(例えば、メモリ)に保存されてもよいし、管理テーブルを用いて管理してもよい。入出力される情報等は、上書き、更新、又は追記され得る。出力された情報等は削除されてもよい。入力された情報等は他の装置へ送信されてもよい。
【0075】
本開示において使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。
【0076】
本開示において、「含む(include)」、「含んでいる(including)」及びそれらの変形が使用されている場合、これらの用語は、用語「備える(comprising)」と同様に、包括的であることが意図される。さらに、本開示において使用されている用語「又は(or)」は、排他的論理和ではないことが意図される。
【0077】
本開示において、例えば、英語でのa, an及びtheのように、翻訳により冠詞が追加された場合、本開示は、これらの冠詞の後に続く名詞が複数形であることを含んでもよい。
【0078】
本開示において、「AとBが異なる」という用語は、「AとBが互いに異なる」ことを意味してもよい。なお、当該用語は、「AとBがそれぞれCと異なる」ことを意味してもよい。「離れる」、「結合される」などの用語も、「異なる」と同様に解釈されてもよい。
【符号の説明】
【0079】
1、1A、1B…プライバシー保護データ連携システム、10、10A、10B、10C…装置、10X、10Y…暗号化装置、10Z…集計装置、11…非識別化処理部、12…暗号化部、13…集計処理部、14…秘匿処理部、1001…プロセッサ、1002…メモリ、1003…ストレージ、1004…通信装置、1005…入力装置、1006…出力装置、1007…バス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】