JP5008633B2 - プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム - Google Patents
プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム Download PDFInfo
- Publication number
- JP5008633B2 JP5008633B2 JP2008266477A JP2008266477A JP5008633B2 JP 5008633 B2 JP5008633 B2 JP 5008633B2 JP 2008266477 A JP2008266477 A JP 2008266477A JP 2008266477 A JP2008266477 A JP 2008266477A JP 5008633 B2 JP5008633 B2 JP 5008633B2
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- anonymity
- user
- unit
- data input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 title claims description 73
- 238000000034 method Methods 0.000 title claims description 53
- 230000005540 biological transmission Effects 0.000 claims description 35
- 230000004044 response Effects 0.000 claims description 12
- 239000003795 chemical substances by application Substances 0.000 description 41
- 238000012790 confirmation Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 18
- 238000012545 processing Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000011002 quantification Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 5
- 238000007781 pre-processing Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 2
- 206010063659 Aversion Diseases 0.000 description 1
- 241000282412 Homo Species 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラムに関する。
現在、個人情報の重ね合わせに対して、あるユーザの匿名性がどの程度低下するかについて情報エントロピーを用いて統計的に評価する方法がある(例えば、特許文献1及び2参照)。
一方、近年では、個人情報の登録・投稿を行い、場合によって、複数の機能モジュール又はサービス間で互いに情報の交換を行うタイプのネットワークサービスが注目を集めている。ソーシャルネットワーキングサービス(以下、SNSとする)は、その1つであり、実世界の人間のつながりを元に形成されたコミュニティ型のウェブサイトである。SNSは、嗜好、地域、出身校などによって、人間関係を構築していくサービスである。「友達の友達は、友達」という考えに基づき、多くの場合、参加者からの招待がないとSNSに参加できないが、誰でも自由に登録できるSNSも増えている。SNSは、社内の各部署におけるスケジュールや売上情報の共有や、病院における患者との情報共有(例えば、非特許文献1参照)など企業や医療の分野においても活用されている。
特開2007−219635号公報
特開2007−219636号公報
"ビジネスブログ及びビジネスSNSの活用事例の公表"、[online]、総務省、[2008年09月26日検索]、インターネット〈URL: http://www.soumu.go.jp/s-news/2005/051222_13.html〉
一方、近年では、個人情報の登録・投稿を行い、場合によって、複数の機能モジュール又はサービス間で互いに情報の交換を行うタイプのネットワークサービスが注目を集めている。ソーシャルネットワーキングサービス(以下、SNSとする)は、その1つであり、実世界の人間のつながりを元に形成されたコミュニティ型のウェブサイトである。SNSは、嗜好、地域、出身校などによって、人間関係を構築していくサービスである。「友達の友達は、友達」という考えに基づき、多くの場合、参加者からの招待がないとSNSに参加できないが、誰でも自由に登録できるSNSも増えている。SNSは、社内の各部署におけるスケジュールや売上情報の共有や、病院における患者との情報共有(例えば、非特許文献1参照)など企業や医療の分野においても活用されている。
図21は、本発明で前提とするSNSシステムの構成を示す概略図である。
SNSを提供するSNSサーバ1Aと、SNSを利用する複数のユーザ端末2Aが、インターネットを介して接続されている。SNSは、メール送受信機能、ブログ機能、掲示板、ビデオ投稿のような様々な機能を提供するサービスである。SNSでは、ユーザが自分の日記や写真を知り合いのみに公開することができ、コミュニティという掲示板のようなサービスを利用して特定のトピックに対する情報をやりとりすることができる。
SNSを提供するSNSサーバ1Aと、SNSを利用する複数のユーザ端末2Aが、インターネットを介して接続されている。SNSは、メール送受信機能、ブログ機能、掲示板、ビデオ投稿のような様々な機能を提供するサービスである。SNSでは、ユーザが自分の日記や写真を知り合いのみに公開することができ、コミュニティという掲示板のようなサービスを利用して特定のトピックに対する情報をやりとりすることができる。
図22は、SNSが提供するコミュニティの概念図である。SNSには、旅行やカメラ関係のような趣味に関するコミュニティや、企業や学校関係のコミュニティなどが複数存在する。コミュニティにおいて、ユーザは自信の分身であるエージェントを用いて情報のやりとりを行う。各エージェントは、SMSの中で一意に識別できるエージェントIDを保持する。また、ユーザによっては、仕事用とプライベート用とで異なるSNSを使い分けている場合がある。また、同じプライベート用でもサイバー犯罪発生率やSNSが提供する機能の違いによって、現在使用しているSNSの使用を中断して別のSNSに乗り換える場合もある。ユーザは、次々に新しいユーザを招待することができるため、連鎖的にSNSを利用するユーザ数が増えてゆく。
SNSのビジネスモデルは、ユーザのサイトに広告を出すことにより広告収入を得るモデルや、SNSの集客を利用して他社や自社のサイトへ誘導又は連動するシナジー効果から収益を得るモデルなどがある。
多くのSNSは、それぞれが独立にサービスを提供しているが、複数のサイトを共通のIDとパスワードで認証できるOpenIDのような認証手段を用いると、異なるSNSでも同一のIDでログインできる。OpenIDを発行するサーバは、認証局と同等の役割を果たす。
多くのSNSは、それぞれが独立にサービスを提供しているが、複数のサイトを共通のIDとパスワードで認証できるOpenIDのような認証手段を用いると、異なるSNSでも同一のIDでログインできる。OpenIDを発行するサーバは、認証局と同等の役割を果たす。
ところで、SNSには様々なプライバシーに関する問題がある。そのひとつに、個々の情報だけでは個人が特定されないが、複数の情報を重ね合わせることで個人を特定することが可能になる場合がある、という問題がある。ユーザが個人特定に繋がらないように個人情報を公開したとしても、公開した個人情報の履歴や友人関係にあるユーザから得た他の個人情報を重ね合わせることで、ユーザがどのような人物かが分かってしまい、意図しない相手にプライバシーを侵害されることがある。情報を重ね合わせるとは、情報を組み合わせることである。例えば、情報「性別:女性」と情報「趣味:旅行」を重ね合わせるとは、それらを組み合わせてそのユーザの情報を「性別:女性」かつ「趣味:旅行」とすることである。
この情報の重ね合わせによるプライバシー侵害問題は、OpenIDを利用するとより深刻になる。OpenIDを利用することにより、様々なプライバシーポリシーで設計されたSNSをネットワーク上で仮想的な1つのSNSとして見ることができる。このため、より広範囲から特定の個人情報を収集しやすくなり、情報の重ね合わせによるプライバシー侵害の問題が深刻化する。
しかしながら、特許文献1及び2に記載された技術は、主にユビキタスネットワークのように限られた空間のネットワークを前提としたものであり、インターネットのような解放空間への適用は考慮されていない、という問題がある。
更に、特許文献1及び2に記載された技術では、個々の個人情報をだけでは個人が特定されないが、複数の個人情報を重ね合わせることにより個人が特定される場合があるということをユーザが気付きにくかった。
本発明は上記の点に鑑みてなされたものであり、その目的は、コミュニティ型のネットワークサービスにおいて、公開した個人情報の重ね合わせによりユーザが特定されるといったプライバシー侵害の危険性を回避するプライバシー侵害監視装置、プライバシー侵害監視方法及びプログラムを提供することにある。
この情報の重ね合わせによるプライバシー侵害問題は、OpenIDを利用するとより深刻になる。OpenIDを利用することにより、様々なプライバシーポリシーで設計されたSNSをネットワーク上で仮想的な1つのSNSとして見ることができる。このため、より広範囲から特定の個人情報を収集しやすくなり、情報の重ね合わせによるプライバシー侵害の問題が深刻化する。
しかしながら、特許文献1及び2に記載された技術は、主にユビキタスネットワークのように限られた空間のネットワークを前提としたものであり、インターネットのような解放空間への適用は考慮されていない、という問題がある。
更に、特許文献1及び2に記載された技術では、個々の個人情報をだけでは個人が特定されないが、複数の個人情報を重ね合わせることにより個人が特定される場合があるということをユーザが気付きにくかった。
本発明は上記の点に鑑みてなされたものであり、その目的は、コミュニティ型のネットワークサービスにおいて、公開した個人情報の重ね合わせによりユーザが特定されるといったプライバシー侵害の危険性を回避するプライバシー侵害監視装置、プライバシー侵害監視方法及びプログラムを提供することにある。
本発明は上記の課題を解決するためになされたものであり、本発明の一態様は、ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力部と、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力部により受信された前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算部と、前記匿名性計算部により算出された前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信部と、前記警告送信部により通知された前記警告に対する応答として、前記データ入力部により受信された前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録部と、を備え、前記匿名性計算部は、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージ部を備え、前記マージ部により統合された個人情報と前記データ入力部により受信された前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出することを特徴とするプライバシー侵害監視装置である。
また、本発明の一態様は、上記のプライバシー侵害監視装置において、前記データ入力部は、複数のネットワークサービス間で共通のIDとともにユーザが新たに公開する前記個人情報をユーザ端末から受信し、前記データ入力部により入力された前記共通のIDを用いて、前記個人情報データベースを備える複数のサーバそれぞれから、前記ユーザが属するサービスモジュールの個人情報を受信する個人情報受信部を備え、前記マージ部は、前記個人情報受信部により取得された複数の前記個人情報を統合し、前記個人情報登録部は、前記警告送信部により通知された前記警告に対する応答として、前記データ入力部により受信された前記個人情報の公開要求を受信した場合には、当該個人情報を前記サーバに送信することを特徴とする。
また、本発明の一態様は、データ入力部が、ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力ステップと、匿名性計算部が、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力ステップで受信した前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算ステップと、警告送信部が、前記匿名性計算ステップで算出した前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信ステップと、個人情報登録部が、前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録ステップと、を有し、前記匿名性計算ステップでは、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージステップを実行し、前記マージステップで統合した個人情報と前記データ入力ステップで受信した前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出することを特徴とするプライバシー侵害監視方法である。
また、本発明の一態様は、上記のプライバシー侵害監視方法において、前記データ入力ステップでは、複数のネットワークサービス間で共通のIDとともにユーザが新たに公開する前記個人情報をユーザ端末から受信し、個人情報受信部が、前記データ入力部により入力された前記共通のIDを用いて、前記個人情報データベースを備える複数のサーバそれぞれから、前記ユーザが属するサービスモジュールの個人情報を受信する個人情報受信ステップを有し、前記マージステップでは、前記個人情報受信ステップで取得した複数の前記個人情報を統合し、前記個人情報登録ステップでは、前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記サーバに送信することを特徴とする。
また、本発明の一態様は、コンピュータに、ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力ステップと、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力ステップで受信した前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算ステップと、前記匿名性計算ステップで算出した前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信ステップと、前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録ステップと、を実行させ、前記匿名性計算ステップでは、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージステップを実行し、前記マージステップで統合した個人情報と前記データ入力ステップで受信した前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出することを特徴とするプライバシー侵害監視プログラムである。
本発明によれば、未公開の個人情報と既に公開している個人情報とに基づいて未公開の個人情報を公開することによる匿名性喪失回避度を算出する。これにより、公開した個人情報の重ね合わせによりユーザが特定されるといったプライバシー侵害の危険性を検知することができる。また、匿名性喪失回避度が閾値より低い場合にユーザに警告を発するため、ユーザに未公開の個人情報を公開することによりプライバシー侵害の危険性があることを報知することができる。このため、ユーザは、ある個人情報を公開することによるプライバシー侵害の危険性を知ることができる。
[第1の実施形態]
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の実施形態によるプライバシー侵害監視システムの構成を示す概略図である。
プライバシー侵害監視システムは、個人情報を公開するサービスを提供し、かつ個人情報の重ね合わせによるプライバシー侵害の監視を行うプライバシー侵害監視装置1と、サービスを利用するユーザが使用するユーザ端末2と、を含んで構成される。複数のユーザ端末2とプライバシー侵害監視装置1は、インターネットを介して接続されており、互いにデータの送受信ができる。
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の実施形態によるプライバシー侵害監視システムの構成を示す概略図である。
プライバシー侵害監視システムは、個人情報を公開するサービスを提供し、かつ個人情報の重ね合わせによるプライバシー侵害の監視を行うプライバシー侵害監視装置1と、サービスを利用するユーザが使用するユーザ端末2と、を含んで構成される。複数のユーザ端末2とプライバシー侵害監視装置1は、インターネットを介して接続されており、互いにデータの送受信ができる。
図2は、第1の実施形態におけるプライバシー侵害監視装置1の機能構成を示すブロック図である。
プライバシー侵害監視装置1は、サービスの種類に依存する処理を行うサービス依存部11と、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベース13と、サービスの種類に依存しない処理を行うサービス非依存部12と、警告送信部15と、匿名性を計算するための個人情報を一時的に格納するバッファ17と、公開要求受信部16と、個人情報登録部14と、を含んで構成される。
サービス依存部11は、データ入力部111と、入力データ検出部112と、プライバシー関連属性抽出部113と、組合せ出力部114と、を含んで構成される。
サービス非依存部12は、保護受付部121と、匿名性計算部122と、プライバシー侵害を監視するユーザの識別情報を記憶する保護対象ユーザ記憶部123と、を含んで構成される。
プライバシー侵害監視装置1は、サービスの種類に依存する処理を行うサービス依存部11と、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベース13と、サービスの種類に依存しない処理を行うサービス非依存部12と、警告送信部15と、匿名性を計算するための個人情報を一時的に格納するバッファ17と、公開要求受信部16と、個人情報登録部14と、を含んで構成される。
サービス依存部11は、データ入力部111と、入力データ検出部112と、プライバシー関連属性抽出部113と、組合せ出力部114と、を含んで構成される。
サービス非依存部12は、保護受付部121と、匿名性計算部122と、プライバシー侵害を監視するユーザの識別情報を記憶する保護対象ユーザ記憶部123と、を含んで構成される。
保護受付部121は、ユーザ端末2から保護要求を受信する。保護要求は、ユーザの識別情報を含むメッセージである。保護受付部121は、受信したユーザの識別情報を保護対象ユーザ記憶部123に登録する。
個人情報データベース13は、各ユーザの個人情報を(属性,属性値)(例えば、(性別,女性)など)のペアでドメインとサービスモジュール毎に管理する。
個人情報データベース13は、各ユーザの個人情報を(属性,属性値)(例えば、(性別,女性)など)のペアでドメインとサービスモジュール毎に管理する。
データ入力部111は、ユーザ端末2から確認要求を受信する。確認要求は、ユーザが新たに公開する個人情報及びユーザの識別情報を含むメッセージである。そして、データ入力部111は、個人情報を入力データ検出部112に出力する。受信する個人情報には、2種類あり、1つは公開予定のテキストから予め個人情報を抜き出し、(属性,属性値)の形に分類されたデータである。一方、もう1つは、何も手を加えていないフルテキストである。
入力データ検出部112は、入力された個人情報が分類されたデータであるかフルテキストであるかを判定する。そして、入力データ検出部112は、個人情報が分類されたデータである場合には、個人情報を組合せ出力部114に出力する。一方、入力データ検出部112は、個人情報がフルテキストである場合には、個人情報をプライバシー関連属性抽出部113に出力する。
プライバシー関連属性抽出部113は、例えばNExT(named entity extraction tool)などの日本語形態素解析を用いてフルテキストである個人情報を(属性,属性値)に分類し、分類したプライバシーデータを組合せ出力部114へ出力する。
組合せ出力部114は、ドメイン判別部114Aと、モジュール判別部114Bと、を含んで構成される。ドメイン判別部114Aは、ユーザが利用しているサービスのドメインが単一であるか複数であるかを判別する。モジュール判別部114Bは、ユーザが利用しているサービスのサービスモジュールが単一であるか複数であるかを判別する。なお、各ユーザが利用しているサービスのドメイン及びサービスモジュールは予めプライバシー侵害監視装置1に登録されている。組合せ出力部114は、入力された個人情報と、ユーザの識別情報と、ドメイン判別部114A及びモジュール判別部114Bの判別結果をバッファ17に書き込む。
入力データ検出部112は、入力された個人情報が分類されたデータであるかフルテキストであるかを判定する。そして、入力データ検出部112は、個人情報が分類されたデータである場合には、個人情報を組合せ出力部114に出力する。一方、入力データ検出部112は、個人情報がフルテキストである場合には、個人情報をプライバシー関連属性抽出部113に出力する。
プライバシー関連属性抽出部113は、例えばNExT(named entity extraction tool)などの日本語形態素解析を用いてフルテキストである個人情報を(属性,属性値)に分類し、分類したプライバシーデータを組合せ出力部114へ出力する。
組合せ出力部114は、ドメイン判別部114Aと、モジュール判別部114Bと、を含んで構成される。ドメイン判別部114Aは、ユーザが利用しているサービスのドメインが単一であるか複数であるかを判別する。モジュール判別部114Bは、ユーザが利用しているサービスのサービスモジュールが単一であるか複数であるかを判別する。なお、各ユーザが利用しているサービスのドメイン及びサービスモジュールは予めプライバシー侵害監視装置1に登録されている。組合せ出力部114は、入力された個人情報と、ユーザの識別情報と、ドメイン判別部114A及びモジュール判別部114Bの判別結果をバッファ17に書き込む。
匿名性計算部122は、バッファ17に記憶された個人情報及びユーザの識別情報を取得し、取得したユーザの識別情報が保護対象ユーザ記憶部123に記憶されている場合に、そのユーザの匿名性喪失回避度を計算する。匿名性計算部122は、ユーザの匿名性喪失回避度を計算する匿名性定量化部122Aと、予め定められた匿名性閾値を管理する閾値管理部122Bと、を含んで構成される。
具体的には、匿名性計算部122は、バッファ17に記憶されたユーザの識別情報に基づいて、過去にユーザが個人情報を公開したことがあるドメイン及びサービスモジュールの個人情報を個人情報データベース13から取得し、バッファ17に記憶する。そして、匿名性計算部122は、バッファ17に記憶された個人情報を個人情報データベース13から取得した個人情報に追加したテーブルを生成する。そして、匿名性計算部122は、生成したテーブルを用いて匿名性定量化部122Aにより匿名性喪失回避度を計算する。匿名性喪失回避度は、値が大きいほど匿名性(匿名性喪失回避度)が高く、値が小さいほど匿名性(匿名性喪失回避度)が低い。匿名性計算部122は、計算した匿名性喪失回避度と匿名性閾値とを比較し、匿名性喪失回避度が匿名性閾値より小さい場合に、警告送信部15からユーザ端末2に警告を送信する。一方、匿名性喪失回避度が匿名性閾値以上である場合には、個人情報登録部14を用いてバッファ17に記憶された個人情報を個人情報データベース13に登録する。
具体的には、匿名性計算部122は、バッファ17に記憶されたユーザの識別情報に基づいて、過去にユーザが個人情報を公開したことがあるドメイン及びサービスモジュールの個人情報を個人情報データベース13から取得し、バッファ17に記憶する。そして、匿名性計算部122は、バッファ17に記憶された個人情報を個人情報データベース13から取得した個人情報に追加したテーブルを生成する。そして、匿名性計算部122は、生成したテーブルを用いて匿名性定量化部122Aにより匿名性喪失回避度を計算する。匿名性喪失回避度は、値が大きいほど匿名性(匿名性喪失回避度)が高く、値が小さいほど匿名性(匿名性喪失回避度)が低い。匿名性計算部122は、計算した匿名性喪失回避度と匿名性閾値とを比較し、匿名性喪失回避度が匿名性閾値より小さい場合に、警告送信部15からユーザ端末2に警告を送信する。一方、匿名性喪失回避度が匿名性閾値以上である場合には、個人情報登録部14を用いてバッファ17に記憶された個人情報を個人情報データベース13に登録する。
警告送信部15は、匿名性計算部122により算出された匿名性喪失回避度が匿名性閾値より小さい場合に、ユーザ端末2に警告を通知する。
公開要求受信部16は、警告送信部15部により通知された警告に対する応答をユーザ端末2から受信する。
個人情報登録部14は、警告送信部15部により通知された警告に対する応答として、受信した個人情報の公開要求を受信した場合には、当該個人情報を個人情報データベース13に登録する。また、個人情報登録部14は、匿名性計算部122により算出された匿名性喪失回避度が匿名性閾値以上である場合に、バッファ17に記憶された個人情報を個人情報データベース13に登録する。
公開要求受信部16は、警告送信部15部により通知された警告に対する応答をユーザ端末2から受信する。
個人情報登録部14は、警告送信部15部により通知された警告に対する応答として、受信した個人情報の公開要求を受信した場合には、当該個人情報を個人情報データベース13に登録する。また、個人情報登録部14は、匿名性計算部122により算出された匿名性喪失回避度が匿名性閾値以上である場合に、バッファ17に記憶された個人情報を個人情報データベース13に登録する。
なお、本発明における匿名性喪失回避度の計算方は、エントロピーをベースとした値(参照: 文献A 「今田、山口、太田、高杉、小柳、“ ユビキタスネットワーキング環境におけるプライバシ保護手法 L o o M ” 電子情報通信学会論文誌、V o l . J 8 8 B 、N o . 3 、p p . 5 6 3 − 5 7 3 、2 0 0 5 . 3 」) を用いる。
具体的には、まず、匿名性定量化部122Aは、保護したい属性において、匿名にしたいユーザと同じ属性値のユーザを正、そうでない属性値を負という二つのクラスに分ける。そして、匿名性定量化部122Aは、次の式(1)を用いて匿名にしたいユーザの正負に関するエントロピーH0を算出する。ただし、P+は、すべてのユーザ集合において、正事例である確率である。P−は、すべてのユーザ集合において、負事例である確率である。
具体的には、まず、匿名性定量化部122Aは、保護したい属性において、匿名にしたいユーザと同じ属性値のユーザを正、そうでない属性値を負という二つのクラスに分ける。そして、匿名性定量化部122Aは、次の式(1)を用いて匿名にしたいユーザの正負に関するエントロピーH0を算出する。ただし、P+は、すべてのユーザ集合において、正事例である確率である。P−は、すべてのユーザ集合において、負事例である確率である。
次に、匿名性定量化部122Aは、ある属性Fが判明したときのエントロピーHFを次の式(2)を用いて算出する。ただし、Piは、Fの属性値の集合を{v1,v2,v3,v4・・・vn}とした場合、Fがviである確率である。Pi+は、Fの属性値の集合を{v1,v2,v3,v4・・・vn}とした場合、Fがviである集合において正である確率である。Piーは、Fの属性値の集合を{v1,v2,v3,v4・・・vn}とした場合、Fがviである集合において負である確率である。
そして、匿名性定量化部122Aは、次の式(3)を用いて匿名性喪失回避度を算出する。
次に、図3から6を参照して、上述したプライバシー侵害監視装置1の動作を説明する。図3は、事前処理の手順を示すフローチャートである。
ステップS1では、プライバシー侵害監視装置1は、個人情報登録部14によりユーザが公開した個人情報を個人情報データベース13に登録する。
ステップS1では、プライバシー侵害監視装置1は、個人情報登録部14によりユーザが公開した個人情報を個人情報データベース13に登録する。
図4は、保護対象ユーザ登録処理の動作を示すシーケンス図である。
まず、ステップS11では、ユーザ端末2が保護要求をプライバシー侵害監視装置1に送信する。保護要求には、ユーザの識別情報が含まれる。
次に、ステップS12では、プライバシー侵害監視装置1において、保護受付部121が、受信したユーザの識別情報を保護対象ユーザ記憶部123に登録する。
これにより、保護要求を送信したユーザ端末2のユーザの個人情報がプライバシー侵害の監視対象となる。
まず、ステップS11では、ユーザ端末2が保護要求をプライバシー侵害監視装置1に送信する。保護要求には、ユーザの識別情報が含まれる。
次に、ステップS12では、プライバシー侵害監視装置1において、保護受付部121が、受信したユーザの識別情報を保護対象ユーザ記憶部123に登録する。
これにより、保護要求を送信したユーザ端末2のユーザの個人情報がプライバシー侵害の監視対象となる。
図5は、プライバシー侵害監視処理の手順を示すフローチャートである。
まず、ステップS21では、データ入力部111が、確認要求を受信する。
次に、ステップS22では、匿名性計算部122が、個人情報の確認要求元であるユーザが保護対象であるか否かを判定する。具体的には、匿名性計算部122は、確認要求に含まれるユーザの識別情報が保護対象ユーザ記憶部123に記憶されている場合に、ユーザが保護対象であると判定する。ユーザが保護対象である場合には、ステップS23へ進む。一方、そうでない場合には、処理を終了する。
まず、ステップS21では、データ入力部111が、確認要求を受信する。
次に、ステップS22では、匿名性計算部122が、個人情報の確認要求元であるユーザが保護対象であるか否かを判定する。具体的には、匿名性計算部122は、確認要求に含まれるユーザの識別情報が保護対象ユーザ記憶部123に記憶されている場合に、ユーザが保護対象であると判定する。ユーザが保護対象である場合には、ステップS23へ進む。一方、そうでない場合には、処理を終了する。
ステップS23では、匿名性計算部122が、ユーザの識別情報に基づいて、過去にユーザが個人情報を公開したことがあるドメイン及びサービスモジュールの個人情報を個人情報データベース13から取得し、バッファ17に格納する。
次に、ステップS24では、匿名性計算部122が、ステップS21で受信した確認要求に含まれる個人情報を個人情報データベースに仮登録する。具体的には、匿名性計算部122は、受信した個人情報を個人情報データベース13から取得した個人情報に追加したテーブルを作成してバッファ17に格納する。
次に、ステップS25では、匿名性計算部122が、作成したテーブルを用いて、受信した個人情報を公開することによる匿名性喪失回避度を算出する。
次に、ステップS26では、匿名性計算部122が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS28へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS27へ進む。
次に、ステップS24では、匿名性計算部122が、ステップS21で受信した確認要求に含まれる個人情報を個人情報データベースに仮登録する。具体的には、匿名性計算部122は、受信した個人情報を個人情報データベース13から取得した個人情報に追加したテーブルを作成してバッファ17に格納する。
次に、ステップS25では、匿名性計算部122が、作成したテーブルを用いて、受信した個人情報を公開することによる匿名性喪失回避度を算出する。
次に、ステップS26では、匿名性計算部122が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS28へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS27へ進む。
ステップS27では、警告送信部15が、受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末2に通知する。
一方、ステップS28では、警告送信部15が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部14が受信した個人情報を個人情報データベース13に登録する。
一方、ステップS28では、警告送信部15が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部14が受信した個人情報を個人情報データベース13に登録する。
図6は、個人情報公開処理の動作を示すシーケンス図である。この図に示す処理は、上述したステップS27で警告を通知されたとしても、ユーザが個人情報の公開を要求する場合の処理である。
まず、ステップS31では、プライバシー侵害監視装置1の警告送信部15が受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末2に通知する。この処理は、上述したステップS27の処理に相当する。
次に、ステップS32では、ユーザが通知された警告を基に確認要求を行った個人情報を公開すると判断した場合に、ユーザ端末2はユーザの操作により確認要求を行った個人情報の公開要求をプライバシー侵害監視装置1に送信する。
ステップS33では、プライバシー侵害監視装置1の公開要求受信部16が公開要求を受信する。そして、個人情報登録部14が、公開要求に対応する個人情報を個人情報データベース13に登録する。
まず、ステップS31では、プライバシー侵害監視装置1の警告送信部15が受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末2に通知する。この処理は、上述したステップS27の処理に相当する。
次に、ステップS32では、ユーザが通知された警告を基に確認要求を行った個人情報を公開すると判断した場合に、ユーザ端末2はユーザの操作により確認要求を行った個人情報の公開要求をプライバシー侵害監視装置1に送信する。
ステップS33では、プライバシー侵害監視装置1の公開要求受信部16が公開要求を受信する。そして、個人情報登録部14が、公開要求に対応する個人情報を個人情報データベース13に登録する。
このように、第1の実施形態によれば、未公開の個人情報と既に公開している個人情報とを合わせて、未公開の個人情報を公開することによる匿名性喪失回避度を算出する。これにより、公開した個人情報の重ね合わせによりユーザが特定されるといったプライバシー侵害の危険性を検知することができる。また、匿名性喪失回避度が匿名性閾値より小さい場合にユーザに警告を発するため、ユーザに未公開の個人情報を公開することによりプライバシー侵害の危険性があることを報知することができる。このため、ユーザは、ある個人情報を公開することによるプライバシー侵害の危険性を知ることができる。
[第2の実施形態]
次に、この発明の第2の実施形態によるプライバシー侵害監視装置について説明する。
図7は、第2の実施形態におけるプライバシー侵害監視装置20の機能構成を示すブロック図である。第2の実施形態におけるプライバシー侵害監視装置20は、SNSを提供するSNSサーバである。図7に示すとおり、プライバシー侵害監視装置20は、図2に示す構成に加えて、SNSをユーザ端末2に提供するSNS機能部200を備えている。
次に、この発明の第2の実施形態によるプライバシー侵害監視装置について説明する。
図7は、第2の実施形態におけるプライバシー侵害監視装置20の機能構成を示すブロック図である。第2の実施形態におけるプライバシー侵害監視装置20は、SNSを提供するSNSサーバである。図7に示すとおり、プライバシー侵害監視装置20は、図2に示す構成に加えて、SNSをユーザ端末2に提供するSNS機能部200を備えている。
SNSでは、エージェントIDによって個々のユーザを一意に識別する。個人を表現する情報には、性別等の個人情報と、エージェントIDと、ユーザ本人との3つがある。プライバシー侵害とは、個人情報と、エージェントIDと、ユーザ本人とが対応付け可能になることである。SNSでは、エージェントIDを公開した上で個人情報を逐次公開していく。よって、SNSにおけるプライバシー侵害とは、公開した個人情報によってエージェントIDとユーザ本人とが一意に対応付け可能になることである。したがって、SNSでは、公開した個人情報によってエージェントIDが一意に特定されないようにしておけば、エージェントIDとユーザ本人とが一意に対応付けられることがなくなり、プライバシー侵害を防止することができる。第2の実施形態では、プライバシー侵害監視装置20は、公開した個人情報の中に、エージェントIDを一意に特定できるような情報が含まれていないかをチェックし、特定できる情報が含まれる場合に警告を通知する。第2の実施形態では、エージェントIDが保護したい属性である。
第2の実施形態における保護受付部221は、ユーザの識別情報としてエージェントIDを受信する。また、保護対象ユーザ記憶部223は、ユーザのエージェントIDを記憶している。個人情報データベース23は、各ユーザの個人情報を(属性,属性値)のペアでSNSのサービスジュールであるコミュニティ毎に管理する。また、第2の実施形態では、1つのコミュニティで公開された個人情報の重ね合わせによるプライバシー侵害を監視する。よって、組合せ出力部214のドメイン判別部214Aは、常に単一のドメインと判別する。また、組合せ出力部214のドメイン判別部214Aは、常に単一のサービスモジュールと判別する。
他の構成は第1の実施形態と同様であるので説明を省略する。
他の構成は第1の実施形態と同様であるので説明を省略する。
図8は、第2の実施形態における個人情報データベース23が記憶する個人情報テーブルのデータ構造とデータ例を示す概略図である。個人情報データベース23は、この個人情報テーブルをコミュニティ毎に記憶している。
図示するように、個人情報テーブルは、行と列からなる2次元の表形式のデータであり、属性(性別、休暇中、趣味、8月の旅行先)と、エージェントIDと、情報キャリアの各項目の列を有している。情報キャリアは、ユーザ名である。また、属性値「*」は、その属性の情報が公開されていないことを表す。
この図に示す例では、1行目のデータは、エージェントID「A」(情報キャリア「Chris」)が属性である性別「M(男性)」と、趣味「旅行」とを公開していることを表す。2行目のデータは、エージェントID「B」(情報キャリア「Kancy」)が属性である性別「F(女性)」と、趣味は「旅行」とを公開していることを表す。3行目のデータは、エージェントID「D」(情報キャリア「Hanako」)が属性である性別「F(女性)」と、休暇中は「no(休暇中ではない)」と、趣味「Yoga」とを公開していることを表す。4行目のデータは、エージェントID「001」(情報キャリア「Alice」)が属性である性別「F(女性)」と、趣味「旅行」とを公開していることを表す。
図示するように、個人情報テーブルは、行と列からなる2次元の表形式のデータであり、属性(性別、休暇中、趣味、8月の旅行先)と、エージェントIDと、情報キャリアの各項目の列を有している。情報キャリアは、ユーザ名である。また、属性値「*」は、その属性の情報が公開されていないことを表す。
この図に示す例では、1行目のデータは、エージェントID「A」(情報キャリア「Chris」)が属性である性別「M(男性)」と、趣味「旅行」とを公開していることを表す。2行目のデータは、エージェントID「B」(情報キャリア「Kancy」)が属性である性別「F(女性)」と、趣味は「旅行」とを公開していることを表す。3行目のデータは、エージェントID「D」(情報キャリア「Hanako」)が属性である性別「F(女性)」と、休暇中は「no(休暇中ではない)」と、趣味「Yoga」とを公開していることを表す。4行目のデータは、エージェントID「001」(情報キャリア「Alice」)が属性である性別「F(女性)」と、趣味「旅行」とを公開していることを表す。
次に、図9を参照して、第2の実施形態におけるプライバシー侵害監視処理の手順を説明する。図9は、プライバシー侵害監視処理の手順を示すフローチャートである。以下、情報キャリア「Alice」が旅行関係コミュニティに繰り返し個人情報を公開する例を用いて説明する。なお、個人情報データベース23には情報キャリア「Alice」がこれまで公開した個人情報が格納されている。また、情報キャリア「Alice」のエージェントID「001」は、保護対象ユーザ記憶部223に記憶されている。
ユーザ端末2は、情報キャリア「Alice」の操作により、旅行関係コミュニティに新規公開予定の文章から個人情報を(属性,属性値)の形式で抽出し、抽出した個人情報とエージェントID「001」を含む確認要求をプライバシー侵害監視装置20に送信する。なお、(属性,属性値)の登録形式は予めプライバシー侵害監視装置20からユーザ端末2に通知されている。例えば新規公開予定の文章が「8月は、休暇を取得し、Parisに行きます」だった場合には、抽出した個人情報は(休暇中,yes)及び(8月の旅行先,Paris)である。つまり、ユーザ端末2は、属性分類された個人情報をプライバシー侵害監視装置20に送信する。
ユーザ端末2は、情報キャリア「Alice」の操作により、旅行関係コミュニティに新規公開予定の文章から個人情報を(属性,属性値)の形式で抽出し、抽出した個人情報とエージェントID「001」を含む確認要求をプライバシー侵害監視装置20に送信する。なお、(属性,属性値)の登録形式は予めプライバシー侵害監視装置20からユーザ端末2に通知されている。例えば新規公開予定の文章が「8月は、休暇を取得し、Parisに行きます」だった場合には、抽出した個人情報は(休暇中,yes)及び(8月の旅行先,Paris)である。つまり、ユーザ端末2は、属性分類された個人情報をプライバシー侵害監視装置20に送信する。
まず、ステップS121では、データ入力部211が、確認要求を受信する。本例では、確認要求にはエージェントID「001」と個人情報(休暇中,yes)及び(8月の旅行先,Paris)が含まれる。
次に、ステップS122では、匿名性計算部222が、受信したエージェントIDが保護対象ユーザ記憶部223に記憶されているか否かを判定する。エージェントIDが保護対象ユーザ記憶部223に記憶されている場合には、ステップS123へ進む。一方、エージェントIDが保護対象ユーザ記憶部223に記憶されていない場合は、処理を終了する。
ステップS123では、匿名性計算部222が、個人情報データベース23から旅行関係コミュニティの個人情報テーブルを取得し、バッファ27に格納する。
次に、ステップS122では、匿名性計算部222が、受信したエージェントIDが保護対象ユーザ記憶部223に記憶されているか否かを判定する。エージェントIDが保護対象ユーザ記憶部223に記憶されている場合には、ステップS123へ進む。一方、エージェントIDが保護対象ユーザ記憶部223に記憶されていない場合は、処理を終了する。
ステップS123では、匿名性計算部222が、個人情報データベース23から旅行関係コミュニティの個人情報テーブルを取得し、バッファ27に格納する。
次に、ステップS124では、匿名性計算部222が、ステップS121で取得した確認要求に含まれる個人情報を個人情報データベース23に仮登録する。具体的には、匿名性計算部122は、個人情報データベース23から取得した個人情報テーブルに受信した個人情報を追加してバッファ17に格納する。
図10は、個人情報データベース23の個人情報テーブルに公開予定の個人情報を追加したテーブルの一例である。
この図に示す例では、図8に示すデータ例に1行目のデータが追加されている。1行目のデータは、エージェントID「001」(情報キャリア「Alice」)の個人情報(休暇中,yes)及び(8月の旅行先,Paris)を表している。
図10は、個人情報データベース23の個人情報テーブルに公開予定の個人情報を追加したテーブルの一例である。
この図に示す例では、図8に示すデータ例に1行目のデータが追加されている。1行目のデータは、エージェントID「001」(情報キャリア「Alice」)の個人情報(休暇中,yes)及び(8月の旅行先,Paris)を表している。
次に、ステップS125では、匿名性計算部222が、ステップS124で作成したテーブルを用いて受信した個人情報を公開することによる匿名性喪失回避度を算出する。
次に、ステップS126では、匿名性計算部222が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS128へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS127へ進む。
次に、ステップS126では、匿名性計算部222が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS128へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS127へ進む。
ステップS127では、警告送信部25が、受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末2に通知する。
一方、ステップS128では、警告送信部25が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部24が受信した個人情報を個人情報データベース23に登録する。
一方、ステップS128では、警告送信部25が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部24が受信した個人情報を個人情報データベース23に登録する。
上述したステップS127において警告が通知された場合であっても、情報キャリア「Alice」が個人情報を公開してもよいと判断したら、ユーザ端末2は、その個人情報の公開要求をプライバシー侵害監視装置20に送信する。プライバシー侵害監視装置20では、公開要求受信部26が公開要求を受信する。そして、個人情報登録部24が、公開要求に対応する個人情報を個人情報データベース23に登録する。そして、ユーザ端末2が、公開予定の文章「8月は、休暇を取得し、Parisに行きます」をプライバシー監視装置1のSNS機能部200に送信して、コミュニティに公開する。
一方、上述したステップS127において通知された警告に従う場合には、情報キャリア「Alice」の操作によりユーザ端末2は、例えばシソーラスを用いて粒度変更(例:8月→夏)し、再度確認要求をプライバシー侵害監視装置20に送信する。プライバシー侵害監視装置20では、粒度変更された個人情報に対して再度匿名性喪失回避度を算出する。
一方、上述したステップS127において通知された警告に従う場合には、情報キャリア「Alice」の操作によりユーザ端末2は、例えばシソーラスを用いて粒度変更(例:8月→夏)し、再度確認要求をプライバシー侵害監視装置20に送信する。プライバシー侵害監視装置20では、粒度変更された個人情報に対して再度匿名性喪失回避度を算出する。
このように、第2の実施形態によれば、同一コミュニティの中で公開した個人情報の重ね合わせによって、エージェントIDと情報キャリアとが一意に特定されるといったユーザが意図しないプライバシー侵害を回避することができる。
[第3の実施形態]
次に、この発明の第3の実施形態によるプライバシー侵害監視装置について説明する。第3の実施形態では、第2の実施形態におけるプライバシー侵害監視装置において、複数のコミュニティで公開された個人情報の重ね合わせによるプライバシー侵害を監視する。
図11は、第3の実施形態におけるプライバシー侵害監視装置が提供するSNSのコミュニティの構成を示す概略図である。この図に示す例では、SNSには、旅行関係コミュニティと、α社コミュニティと、カメラ関係のコミュニティと、β大学のコミュニティと、が含まれる。エージェントID「001」(情報キャリア「Alice」)は、旅行関係コミュニティとα社コミュニティとの2つのコミュニティに属している。
次に、この発明の第3の実施形態によるプライバシー侵害監視装置について説明する。第3の実施形態では、第2の実施形態におけるプライバシー侵害監視装置において、複数のコミュニティで公開された個人情報の重ね合わせによるプライバシー侵害を監視する。
図11は、第3の実施形態におけるプライバシー侵害監視装置が提供するSNSのコミュニティの構成を示す概略図である。この図に示す例では、SNSには、旅行関係コミュニティと、α社コミュニティと、カメラ関係のコミュニティと、β大学のコミュニティと、が含まれる。エージェントID「001」(情報キャリア「Alice」)は、旅行関係コミュニティとα社コミュニティとの2つのコミュニティに属している。
図12は、第3の実施形態におけるプライバシー侵害監視装置30の機能構成を示すブロック図である。図12に示すとおり、プライバシー侵害監視装置30は、図7に示す構成に加えて、マージ部322Cを新たに備えている。
第3の実施形態における保護受付部321は、エージェントIDとともにユーザが属するコミュニティの識別情報を受信する。また、保護対象ユーザ記憶部323は、エージェントIDに対応させてユーザが属するコミュニティの識別情報を記憶する。組合せ出力部314のドメイン判別部314Aは、常に単一のドメインと判別する。また、組合せ出力部314のモジュール判別部314Bは、常に複数のサービスモジュールと判別する。マージ部322Cは、異なる複数のコミュニティの個人情報テーブルをマージして新たにテーブルを生成する。
他の構成は第2の実施形態と同様なので説明を省略する。
第3の実施形態における保護受付部321は、エージェントIDとともにユーザが属するコミュニティの識別情報を受信する。また、保護対象ユーザ記憶部323は、エージェントIDに対応させてユーザが属するコミュニティの識別情報を記憶する。組合せ出力部314のドメイン判別部314Aは、常に単一のドメインと判別する。また、組合せ出力部314のモジュール判別部314Bは、常に複数のサービスモジュールと判別する。マージ部322Cは、異なる複数のコミュニティの個人情報テーブルをマージして新たにテーブルを生成する。
他の構成は第2の実施形態と同様なので説明を省略する。
次に、図13を参照して、第3の実施形態におけるプライバシー侵害監視処理の手順を説明する。図13は、プライバシー侵害監視処理の手順を示すフローチャートである。以下、情報キャリア「Alice」が旅行関係コミュニティに「8月は、休暇を取得し、Parisに行きます」という文章を公開する場合を例にして説明する。なお、保護対象ユーザ記憶部323には、予めエージェントID「001」に対応してコミュニティ「旅行関係コミュニティ」及び「α社コミュニティ」が登録されている。
まず、ステップS221では、データ入力部311が、確認要求を受信する。本例では、確認要求にエージェントID「001」と個人情報(休暇中,yes)及び(8月の旅行先,Paris)が含まれる。
次に、ステップS222では、匿名性計算部322が、受信したエージェントIDが保護対象ユーザ記憶部323に記憶されているか否かを判定する。エージェントID保護対象ユーザ記憶部323に記憶されている場合には、ステップS223へ進む。一方、保護対象ユーザ記憶部323に記憶されていない場合には、処理を終了する。
次に、ステップS222では、匿名性計算部322が、受信したエージェントIDが保護対象ユーザ記憶部323に記憶されているか否かを判定する。エージェントID保護対象ユーザ記憶部323に記憶されている場合には、ステップS223へ進む。一方、保護対象ユーザ記憶部323に記憶されていない場合には、処理を終了する。
ステップS223では、匿名性計算部322が、保護対象ユーザ記憶部323を参照して、エージェントID「001」が属するコミュニティ(旅行関係コミュニティ及びα社コミュニティ)を判別する。そして、匿名性計算部322が、判別したコミュニティ(旅行関係コミュニティ及びα社コミュニティ)の個人情報テーブルを個人情報データベース33から取得し、バッファ37に格納する。
次に、ステップS224では、匿名性計算部322が、ステップS233で取得した複数のコミュニティの個人情報テーブルをマージする。
次に、ステップS224では、匿名性計算部322が、ステップS233で取得した複数のコミュニティの個人情報テーブルをマージする。
次に、ステップS225では、匿名性計算部322が、マージした個人情報テーブルにステップS221で取得した確認要求に含まれる個人情報を追加してバッファ37に格納する。
図14は、個人情報テーブルをマージしたテーブルに新たに公開予定の個人情報を追加したテーブルの一例である。
この図において、符号Aで示すデータが旅行関係コミュニティの個人情報であり、符号Bで示すデータがα社コミュニティの個人情報である。また、1行目のデータが新たに公開予定の個人情報である。
図14は、個人情報テーブルをマージしたテーブルに新たに公開予定の個人情報を追加したテーブルの一例である。
この図において、符号Aで示すデータが旅行関係コミュニティの個人情報であり、符号Bで示すデータがα社コミュニティの個人情報である。また、1行目のデータが新たに公開予定の個人情報である。
次に、ステップS226では、匿名性計算部322が、ステップS225で作成したテーブルを用いて受信した個人情報を公開することによる匿名性喪失回避度を算出する。
次に、ステップS227では、匿名性計算部322が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS229へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS228へ進む。
次に、ステップS227では、匿名性計算部322が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS229へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS228へ進む。
ステップS228では、警告送信部35が、受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末2に通知する。
一方、ステップS229では、警告送信部35が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部34が受信した個人情報を個人情報データベース33に登録する。
他の処理は第2の実施形態と同様なので説明を省略する。
一方、ステップS229では、警告送信部35が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末2に通知する。また、個人情報登録部34が受信した個人情報を個人情報データベース33に登録する。
他の処理は第2の実施形態と同様なので説明を省略する。
このように、第3の実施形態によれば、コミュニティ毎に異なる個人情報を公開していた場合であっても、ユーザが意図しないプライバシー侵害を回避することができる。
[第4の実施形態]
次に、この発明の第4の実施形態によるプライバシー侵害監視装置について説明する。第4の実施形態では、プライバシー侵害監視装置は、複数のドメインで公開された個人情報の重ね合わせによるプライバシー侵害を監視する。
図15は、第4の実施形態におけるプライバシー侵害監視システムの構成を示す概略図である。
プライバシー侵害監視システムは、個人情報の重ね合わせについてのプライバシー侵害の監視を行うプライバシー侵害監視装置40と、SNSを提供するSNSサーバ5と、SNSを利用するユーザが使用するユーザ端末6と、ユーザ端末6とSNSサーバ5とプライバシー侵害監視装置40とは、インターネットを介して接続されており、互いにデータの送受信が行える。第4の実施形態におけるプライバシー侵害監視装置40は、異なる複数のSNS間でも共通に使えるエージェントID(OpenID(共通のID))の発行と認証を行うOpenIDサーバである。なお、各SNSサーバ5とプライバシー侵害監視装置40間の通信は、データを暗号化することによりデータ送受信時の安全を確保する。
次に、この発明の第4の実施形態によるプライバシー侵害監視装置について説明する。第4の実施形態では、プライバシー侵害監視装置は、複数のドメインで公開された個人情報の重ね合わせによるプライバシー侵害を監視する。
図15は、第4の実施形態におけるプライバシー侵害監視システムの構成を示す概略図である。
プライバシー侵害監視システムは、個人情報の重ね合わせについてのプライバシー侵害の監視を行うプライバシー侵害監視装置40と、SNSを提供するSNSサーバ5と、SNSを利用するユーザが使用するユーザ端末6と、ユーザ端末6とSNSサーバ5とプライバシー侵害監視装置40とは、インターネットを介して接続されており、互いにデータの送受信が行える。第4の実施形態におけるプライバシー侵害監視装置40は、異なる複数のSNS間でも共通に使えるエージェントID(OpenID(共通のID))の発行と認証を行うOpenIDサーバである。なお、各SNSサーバ5とプライバシー侵害監視装置40間の通信は、データを暗号化することによりデータ送受信時の安全を確保する。
図16は、第4の実施形態におけるプライバシー侵害監視装置40の処理を説明するための図である。
この図に示す例では、情報キャリア「Alice」はOpenID「OpenAliceID」を用いて複数のSNS(図に示す例では、プライベート用SNSと地域活動用SNS)にアクセスすることができる。なお、各SNSで公開されるエージェントIDは異なる。例えば、情報キャリア「Alice」のエージェントIDは、プライベート用SNSでは「001」であるのに対し、地域活動用SNSでは「004」である。
以下、情報キャリア「Alice」が使っている2つのコミュニティを情報キャリア「Bob」も使っている場合を例に説明する。ただし、情報キャリア「Alice」と情報キャリア「Bob」は互いに同じコミュニティを使っていることを知らない。第4の実施形態では、プライバシー侵害監視装置40は、プライベート用SNSのエージェントID「001」と地域活動用SNSのエージェントID「004」が情報キャリア「Alice」であると特定されないようにするための処理を行う。第4の実施形態では、OpenIDが保護したい属性である。
この図に示す例では、情報キャリア「Alice」はOpenID「OpenAliceID」を用いて複数のSNS(図に示す例では、プライベート用SNSと地域活動用SNS)にアクセスすることができる。なお、各SNSで公開されるエージェントIDは異なる。例えば、情報キャリア「Alice」のエージェントIDは、プライベート用SNSでは「001」であるのに対し、地域活動用SNSでは「004」である。
以下、情報キャリア「Alice」が使っている2つのコミュニティを情報キャリア「Bob」も使っている場合を例に説明する。ただし、情報キャリア「Alice」と情報キャリア「Bob」は互いに同じコミュニティを使っていることを知らない。第4の実施形態では、プライバシー侵害監視装置40は、プライベート用SNSのエージェントID「001」と地域活動用SNSのエージェントID「004」が情報キャリア「Alice」であると特定されないようにするための処理を行う。第4の実施形態では、OpenIDが保護したい属性である。
図17は、第4の実施形態におけるプライバシー侵害監視装置40の機能構成を示すブロック図である。図17に示すとおり、プライバシー侵害監視装置40は、図2に示す構成に加えて、OpenIDの発行と認証を行うOpenID機能部400と、SNSサーバ5から個人情報テーブルを受信する個人情報受信部48と、を備えている。また、図2に示す構成から個人情報データベース13を除いている。
第4の実施形態における保護受付部421は、ユーザの識別情報としてOpenIDとともにユーザが利用しているSNSのドメイン及びコミュニティの識別情報を受信する。また、保護対象ユーザ記憶部423は、OpenIDに対応させてユーザが属するSNS及びコミュニティを記憶する。また、組合せ出力部414のドメイン判定部414Aは、常に異なるドメインと判定する。
図18は、第4の実施形態におけるSNSサーバ5の機能構成を示すブロック図である。SNSサーバ5は、プライバシー侵害監視装置40に個人情報テーブルを送信する個人情報送信部51と、個人情報テーブルを記憶する個人情報データベース52と、SNSを提供するSNS機能部53と、を含んで構成される。
次に、図19を参照して、第4の実施形態におけるプライバシー侵害監視処理の手順を説明する。図19は、プライバシー侵害監視処理の手順を示すフローチャートである。以下、情報キャリア「Alice」がプライベート用SNSの旅行関係コミュニティに「8月は、休暇を取得し、Parisに行きます」という文章を公開する場合を例にして説明する。なお、保護対象ユーザ記憶部423には、予めOpenID「OpenAliceID」に対応してSNSのドメイン「プライベート用SNS」及び「地域活動用SNS」が登録されている。
まず、ステップS321では、データ入力部411が、確認要求を受信する。本例では、確認要求にOpenID「OpenAliceID」と個人情報(休暇中,yes)及び(8月の旅行先,Paris)が含まれる。
次に、ステップS322では、匿名性計算部422が、受信したOpenIDが保護対象ユーザ記憶部423に記憶されているか否かを判定する。OpenIDが保護対象ユーザ記憶部423に記憶されている場合には、ステップS323へ進む。一方、OpenIDが保護対象ユーザ記憶部423に記憶されていない場合には、処理を終了する。
次に、ステップS322では、匿名性計算部422が、受信したOpenIDが保護対象ユーザ記憶部423に記憶されているか否かを判定する。OpenIDが保護対象ユーザ記憶部423に記憶されている場合には、ステップS323へ進む。一方、OpenIDが保護対象ユーザ記憶部423に記憶されていない場合には、処理を終了する。
ステップS323では、匿名性計算部422が、保護対象ユーザ記憶部423を参照して、OpenID「OpenAliceID」が属するドメイン(「プライベート用SNS」及び「地域活動用SNS」)及びコミュニティを判別する。そして、個人情報受信部48が、判別したドメインのSNSサーバ5に対して、判別したコミュニティの個人情報テーブルを要求する。要求を受信したSNSサーバ5の個人情報送信部51は、個人情報データベース52から要求のあったコミュニティの個人情報テーブルを取得して、プライバシー侵害監視装置40に送信する。個人情報受信部48は、受信した個人情報テーブルをバッファ47に格納する。
次に、ステップS324では、匿名性計算部422が、ステップS233で取得した複数のドメインの個人情報テーブルをマージする。
次に、ステップS324では、匿名性計算部422が、ステップS233で取得した複数のドメインの個人情報テーブルをマージする。
次に、ステップS325では、匿名性計算部422が、マージした個人情報テーブルにステップS321で取得した確認要求に含まれる個人情報を追加してバッファ47に格納する。
図20は、個人情報テーブルをマージしたテーブルに新たに公開予定の個人情報を追加したテーブルの一例である。
この図において、符号Cで示すデータがプライベート用SNSの個人情報であり、符号Dで示すデータが地域活動用SNSの個人情報である。また、1行目のデータが新たに公開予定の個人情報である。
図20は、個人情報テーブルをマージしたテーブルに新たに公開予定の個人情報を追加したテーブルの一例である。
この図において、符号Cで示すデータがプライベート用SNSの個人情報であり、符号Dで示すデータが地域活動用SNSの個人情報である。また、1行目のデータが新たに公開予定の個人情報である。
次に、ステップS326では、匿名性計算部422が、ステップS325で作成したテーブルを用いて受信した個人情報を公開することによる匿名性喪失回避度を算出する。
次に、ステップS327では、匿名性計算部422が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS329へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS328へ進む。
次に、ステップS327では、匿名性計算部422が、算出した匿名性喪失回避度が匿名性閾値以上であるか否かを判定する。匿名性喪失回避度が匿名性閾値以上である場合には、ステップS329へ進む。一方、匿名性喪失回避度が匿名性閾値より小さい場合には、ステップS328へ進む。
ステップS328では、警告送信部45が、受信した個人情報により匿名性が低下することを警告する旨を確認要求元のユーザ端末6に通知する。
一方、ステップS329では、警告送信部45が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末6に通知する。また、個人情報登録部44が、受信した個人情報を、当該個人情報を公開するSNSサーバ5に送信して、SNSサーバ5の個人情報データベース52に登録する。
他の処理は第2及び第3の実施形態と同様なので説明を省略する。
一方、ステップS329では、警告送信部45が、受信した個人情報を公開可能な旨を確認要求元のユーザ端末6に通知する。また、個人情報登録部44が、受信した個人情報を、当該個人情報を公開するSNSサーバ5に送信して、SNSサーバ5の個人情報データベース52に登録する。
他の処理は第2及び第3の実施形態と同様なので説明を省略する。
このように、第4の実施形態によれば、情報キャリア「Alice」と同じSNSのコミュニティを利用している情報キャリア「Bob」がいたとしても、情報キャリア「Bob」はプライベート用SNSのエージェントID「001」と地域活動用SNSのエージェントID「004」が情報キャリア「Alice」であることを特定することが困難となる。
また、図3から6,9,13,19に示す各ステップを実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、事前処理、保護対象ユーザ登録処理、プライバシー侵害監視処理、個人情報公開処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、図面を参照してこの発明の一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
1,20,30,40…プライバシー侵害監視装置 11,21,31,41…サービス依存部 12,22,32,42…サービス非依存部 13,23,33,43…個人情報データベース 14,24,34,44…個人情報登録部 15,25,35,45…警告送信部 16,26,36,46…公開要求受信部 17,27,37,47…バッファ 1A,5…SNSサーバ 111,211,311,411…データ入力部 112,212,312,412…入力データ検出部 113,213,313,413…プライバシー関連属性抽出部 114,214,314,414…組合せ出力部 114A,214A,314A,414A…ドメイン判別部 114B,214B,314B,414B…モジュール判別部 121,221,321,421…保護受付部 122,222,322,422…匿名性計算部 122A,222A,322A,422A…匿名性定量化部 122B,222B,322B,422B…閾値管理部 123,223,323,423…保護対象ユーザ記憶部 2,2A,6…ユーザ端末 200…SNS機能部
Claims (5)
- ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力部と、
ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力部により受信された前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算部と、
前記匿名性計算部により算出された前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信部と、
前記警告送信部により通知された前記警告に対する応答として、前記データ入力部により受信された前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録部と、を備え、
前記匿名性計算部は、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージ部を備え、前記マージ部により統合された個人情報と前記データ入力部により受信された前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出する
ことを特徴とするプライバシー侵害監視装置。 - 前記データ入力部は、複数のネットワークサービス間で共通のIDとともにユーザが新たに公開する前記個人情報をユーザ端末から受信し、
前記データ入力部により入力された前記共通のIDを用いて、前記個人情報データベースを備える複数のサーバそれぞれから、前記ユーザが属するサービスモジュールの個人情報を受信する個人情報受信部を備え、
前記マージ部は、前記個人情報受信部により取得された複数の前記個人情報を統合し、
前記個人情報登録部は、前記警告送信部により通知された前記警告に対する応答として、前記データ入力部により受信された前記個人情報の公開要求を受信した場合には、当該個人情報を前記サーバに送信する
ことを特徴とする請求項1に記載のプライバシー侵害監視装置。 - データ入力部が、ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力ステップと、
匿名性計算部が、ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力ステップで受信した前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算ステップと、
警告送信部が、前記匿名性計算ステップで算出した前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信ステップと、
個人情報登録部が、前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録ステップと、
を有し、
前記匿名性計算ステップでは、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージステップを実行し、前記マージステップで統合した個人情報と前記データ入力ステップで受信した前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出する
ことを特徴とするプライバシー侵害監視方法。 - 前記データ入力ステップでは、複数のネットワークサービス間で共通のIDとともにユーザが新たに公開する前記個人情報をユーザ端末から受信し、
個人情報受信部が、前記データ入力部により入力された前記共通のIDを用いて、前記個人情報データベースを備える複数のサーバそれぞれから、前記ユーザが属するサービスモジュールの個人情報を受信する個人情報受信ステップを有し、
前記マージステップでは、前記個人情報受信ステップで取得した複数の前記個人情報を統合し、
前記個人情報登録ステップでは、前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記サーバに送信する
ことを特徴とする請求項3に記載のプライバシー侵害監視方法。 - コンピュータに、
ユーザが新たに公開する個人情報をユーザ端末から受信するデータ入力ステップと、
ネットワークサービス上で公開されている個人情報をユーザ毎に記憶する個人情報データベースから読み出された前記個人情報と前記データ入力ステップで受信した前記個人情報とに基づき前記ユーザの匿名性喪失回避度を算出する匿名性計算ステップと、
前記匿名性計算ステップで算出した前記匿名性喪失回避度が所定の閾値より低い場合に、前記ユーザ端末に警告を通知する警告送信ステップと、
前記警告送信ステップで通知した前記警告に対する応答として、前記データ入力ステップで受信した前記個人情報の公開要求を受信した場合には、当該個人情報を前記個人情報データベースに登録する個人情報登録ステップと、
を実行させ、
前記匿名性計算ステップでは、前記個人情報データベースから読み出された個人情報であって前記ユーザが属する複数のサービスモジュール毎の個人情報を統合するマージステップを実行し、前記マージステップで統合した個人情報と前記データ入力ステップで受信した前記個人情報とに基づいて前記ユーザの匿名性喪失回避度を算出する
ことを特徴とするプライバシー侵害監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008266477A JP5008633B2 (ja) | 2008-10-15 | 2008-10-15 | プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008266477A JP5008633B2 (ja) | 2008-10-15 | 2008-10-15 | プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010097336A JP2010097336A (ja) | 2010-04-30 |
| JP5008633B2 true JP5008633B2 (ja) | 2012-08-22 |
Family
ID=42258984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008266477A Expired - Fee Related JP5008633B2 (ja) | 2008-10-15 | 2008-10-15 | プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5008633B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5533291B2 (ja) * | 2010-06-07 | 2014-06-25 | 日本電気株式会社 | プライバシー保護装置、プライバシー保護方法およびプログラム |
| WO2012017612A1 (ja) * | 2010-08-06 | 2012-02-09 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
| JP2012133451A (ja) * | 2010-12-20 | 2012-07-12 | Kddi R & D Laboratories Inc | 重要度判定システム、データの重要度判定方法およびプログラム |
| JP5649466B2 (ja) * | 2011-01-19 | 2015-01-07 | 株式会社Kddi研究所 | 重要度判定装置、重要度判定方法およびプログラム |
| FR2972823B1 (fr) | 2011-03-16 | 2013-03-01 | Alcatel Lucent | Controle de publication de message relatif a un utilisateur |
| US8812591B2 (en) * | 2011-06-15 | 2014-08-19 | Facebook, Inc. | Social networking system data exchange |
| WO2013084563A1 (ja) | 2011-12-05 | 2013-06-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プライバシー情報管理装置、方法及びプログラム |
| WO2013128879A1 (ja) * | 2012-03-01 | 2013-09-06 | 日本電気株式会社 | 匿名化処理を実行する情報処理装置、匿名化方法、及びそのためのプログラム |
| US9081986B2 (en) | 2012-05-07 | 2015-07-14 | Nokia Technologies Oy | Method and apparatus for user information exchange |
| US9277364B2 (en) | 2012-06-25 | 2016-03-01 | Nokia Technologies Oy | Methods and apparatus for reporting location privacy |
| JP5943356B2 (ja) | 2014-01-31 | 2016-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 情報処理装置、情報処理方法、及び、プログラム |
| JP6223853B2 (ja) | 2014-02-13 | 2017-11-01 | 株式会社東芝 | 匿名化指標算出システム |
| US11275788B2 (en) | 2019-10-21 | 2022-03-15 | International Business Machines Corporation | Controlling information stored in multiple service computing systems |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4238548B2 (ja) * | 2002-09-12 | 2009-03-18 | 富士ゼロックス株式会社 | 個人情報管理装置および方法 |
| JP4093482B2 (ja) * | 2003-12-24 | 2008-06-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 |
| JP4579718B2 (ja) * | 2005-03-01 | 2010-11-10 | 株式会社エヌ・ティ・ティ・ドコモ | 情報送信システム、及び情報送信方法 |
| JP2006309737A (ja) * | 2005-03-28 | 2006-11-09 | Ntt Communications Kk | 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム |
| JP4778265B2 (ja) * | 2005-05-12 | 2011-09-21 | 富士通株式会社 | 紹介支援プログラム |
-
2008
- 2008-10-15 JP JP2008266477A patent/JP5008633B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010097336A (ja) | 2010-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5008633B2 (ja) | プライバシー侵害監視装置、プライバシー侵害監視方法及びプログラム | |
| Williams et al. | Public attitudes towards COVID‐19 contact tracing apps: A UK‐based focus group study | |
| Henry et al. | Policing image-based sexual abuse: Stakeholder perspectives | |
| Rempel et al. | Intimate partner violence: a review of online interventions | |
| Perez‐Brumer et al. | Leveraging social capital: multilevel stigma, associated HIV vulnerabilities, and social resilience strategies among transgender women in Lima, Peru | |
| US9129133B2 (en) | Dynamic de-identification and anonymity | |
| Fusco et al. | Using a social informatics framework to study the effects of location-based social networking on relationships between people: A review of literature | |
| Choudhury et al. | Covidchain: An anonymity preserving blockchain based framework for protection against covid-19 | |
| Wolf et al. | Building the evidence base to optimize the impact of key population programming across the HIV cascade | |
| Foss et al. | Condoms and prevention of HIV | |
| Leibenger et al. | Privacy challenges in the quantified self movement–an EU perspective | |
| Sandhu et al. | Unfolding the popularity of video conferencing apps–A privacy calculus perspective | |
| Lubis et al. | The relationship of personal data protection towards internet addiction: Cyber crimes, pornography and reduced physical activity | |
| Rodríguez-Rodríguez et al. | How are universities using Information and Communication Technologies to face sexual harassment and how can they improve? | |
| Makhakhe et al. | Sexual transactions between long distance truck drivers and female sex workers in South Africa | |
| Jaafari et al. | Certain Investigations on IoT system for COVID-19 | |
| Hertlein et al. | Does absence of evidence mean evidence of absence? Managing the issue of partner surveillance in infidelity treatment | |
| Singh et al. | Cloud-based patient health information exchange system using blockchain technology | |
| Bahbouh et al. | Tokens shuffling approach for privacy, security, and reliability in IoHT under a pandemic | |
| Cole et al. | International employees’ concerns during serious disease outbreaks and the potential impact on business continuity: Lessons identified from the 2014–15 West African Ebola outbreak | |
| Unger | Katz and COVID-19: how a pandemic changed the reasonable expectation of privacy | |
| Punagin et al. | Privacy in the age of pervasive internet and big data analytics-challenges and opportunities | |
| Bartlett et al. | State of the Art: A Literature Review of Social Media Intelligence Capabilities for Counter-terrorism | |
| Ti et al. | Towards equitable AI interventions for people who use drugs: key areas that require ethical investment | |
| Milutinovic et al. | Ethical aspects in eHealth–design of a privacy-friendly system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100526 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120501 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120522 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120529 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150608 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |