JP5893197B1 - 判定方法、判定装置及び判定プログラム - Google Patents
判定方法、判定装置及び判定プログラム Download PDFInfo
- Publication number
- JP5893197B1 JP5893197B1 JP2015125021A JP2015125021A JP5893197B1 JP 5893197 B1 JP5893197 B1 JP 5893197B1 JP 2015125021 A JP2015125021 A JP 2015125021A JP 2015125021 A JP2015125021 A JP 2015125021A JP 5893197 B1 JP5893197 B1 JP 5893197B1
- Authority
- JP
- Japan
- Prior art keywords
- anonymized data
- processing
- data
- personal information
- anonymization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 238000012545 processing Methods 0.000 claims abstract description 130
- 238000011156 evaluation Methods 0.000 claims description 43
- 238000010586 diagram Methods 0.000 description 38
- 230000015654 memory Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000010365 information processing Effects 0.000 description 8
- 238000012546 transfer Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000012508 change request Methods 0.000 description 2
- 230000002860 competitive effect Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】個人情報の利用状況を容易に把握できる判定方法、判定装置及び判定プログラムを提供すること。【解決手段】判定方法は、個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報をコンピュータが取得する。また、判定方法は、前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況をコンピュータが判定する。【選択図】図1
Description
本発明は、判定方法、判定装置及び判定プログラムに関する。
近年、情報漏洩の問題及び個人情報保護法の制定等により、個人情報の取り扱いが問題となっている。例えば、企業(以下では「プロバイダ」と呼ぶことがある)の商品又はサービスを購入する消費者等の個人(以下では、「一般ユーザ」と呼ぶことがある)が商品又はサービスを購入する際に、会員登録することがある。この会員登録時には、通常、一般ユーザの氏名、年齢、性別、住所、及びメールアドレス等のデータが、一般ユーザに割り振られた個人IDと対応づけられた状態で、プロバイダのシステムに登録(記憶)される。すなわち、プロバイダのシステムは、「個人情報データ」を記憶しておく。ここで、「個人情報データ」は、例えば、氏名、年齢、性別、住所、メールアドレス、及び個人IDを含む。
さらに、プロバイダのシステムは、個人情報データが既に登録されている一般ユーザが商品又はサービスを購入する度に、その一般ユーザの個人IDに対応づけて、購入された商品又はサービスに関する情報を記憶する。これにより、プロバイダは、収集した個人情報データを用いて、企業活動に利用することができる。
一方で、例えば、個人情報データを正常に収集したプロバイダ以外の企業が、その個人情報データを利用することを望むことがある。すなわち、データ収集主体とデータ利用主体とが異なる可能性がある。しかしながら、個人情報保護の観点から、一般ユーザの許可を得ること無しに、個人情報データそのものを提供することはできない。そこで、個人情報データを正常に収集した提供者が、個人情報データを、個人を特定できない状態のデータ(以下では、「匿名化データ」と呼ぶことがある)に変換し、匿名化データを提供することが考えられている。
また、今後改正され、施行が予定される個人情報保護法では、個人を特定できないように一定レベルの加工度で匿名化処理を行った個人情報を一般ユーザの許可なく流通させることが可能となることから、匿名化データの流通が期待される。当該施行が予定される個人情報保護法においては、プロバイダが当該匿名化データを提供する際に、一般ユーザに対して、当該匿名化データに含まれる項目及び当該匿名化データの提供先を公表することが規定されている。
このような匿名化データの提供の条件については、例えば後述するk−匿名レベル等の加工度等を定めたプライバシーポリシー等に含める形で記載されることが一般的である。一般ユーザは、当該プライバシーポリシー等に同意した上で、プロバイダに個人情報を提供する。
ところで、プロバイダが、匿名化データの流通に際し、一般ユーザの同意を得たプライバシーポリシー等を適宜変更する場合がある。この場合、プロバイダは、プライバシーポリシー等の変更を自社のWebサイト等で周知することが一般的である。
しかし、プライバシーポリシー等が変更される都度、その内容を確認するのは一般ユーザにとって煩雑である。また、プライバシーポリシー等は専門的な文言が多く、一般ユーザにとって、どこが変更されたのかが分かりにくいことが多い。この結果、一般ユーザは、個人情報の提供時に同意したプライバシーポリシー等が変更されていても、どのように変更されたのかを特定するのが難しい。このため、一般ユーザは匿名化データがどのように利用・流通されているかを把握できない場合がある。
1つの側面では、個人情報の利用状況を容易に把握できる判定方法、判定装置及び判定プログラムを提供することを目的とする。
1つの側面では、判定方法は、個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報をコンピュータが取得する。また、判定方法は、前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況をコンピュータが判定する。
一実施態様によれば、個人情報の利用状況を容易に把握できる。
以下に、本願の開示する判定方法、判定装置及び判定プログラムの実施例を図面に基づいて詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下に示す各実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。
[全体構成]
本実施例においては、プロバイダが、一般ユーザに対して、匿名化データの利用状況を開示する構成について説明する。図1は、実施例1におけるシステムの全体構成の一例を示す模式図である。本実施例におけるシステムは、プロバイダXと、複数の一般ユーザ1乃至3と、複数のデータ利用者A乃至Cとを含む。図1においては一般ユーザ及びデータ利用者がそれぞれ3者である例を示したが、実施例はこれに限られず、一般ユーザ及びデータ利用者を4者以上有するような構成であってもよい。以下、一般ユーザ1乃至3を区別することなく総称する場合に一般ユーザと記載し、データ利用者A乃至Cを区別することなく総称する場合にデータ利用者と記載する。
本実施例においては、プロバイダが、一般ユーザに対して、匿名化データの利用状況を開示する構成について説明する。図1は、実施例1におけるシステムの全体構成の一例を示す模式図である。本実施例におけるシステムは、プロバイダXと、複数の一般ユーザ1乃至3と、複数のデータ利用者A乃至Cとを含む。図1においては一般ユーザ及びデータ利用者がそれぞれ3者である例を示したが、実施例はこれに限られず、一般ユーザ及びデータ利用者を4者以上有するような構成であってもよい。以下、一般ユーザ1乃至3を区別することなく総称する場合に一般ユーザと記載し、データ利用者A乃至Cを区別することなく総称する場合にデータ利用者と記載する。
本システムにおいて、プロバイダXは、一般ユーザから個人情報の提供を受け、取得した個人情報を用いて匿名化処理を行う。プロバイダXは、匿名化処理により生成された匿名化データを自社内で利用し、またデータ利用者に流通させる。なお、匿名化処理及び匿名化データの提供を、例えば匿名化データプラットフォームなどの第三者が実施するような構成であってもよい。
匿名化処理及び匿名化データについて、図2を用いて説明する。図2は、匿名化処理の一例を説明する図である。図2において、符号2001に示すテーブルは、一般ユーザから提供される、匿名化処理前の個人情報の一例を示す。一方、図2の符号2101に示すテーブルは、図2の符号2001に示す個人情報のうち、個人IDが「0001」である個人、及び個人IDが「0002」である個人の個人情報が匿名化されたデータの一例を示す。
なお、図2の符号2001に示す個人情報の一例は、6人分の個人情報を抜き出したもので、各個人は「個人ID」、「氏名」、「年齢」、「性別」及び「地域」の各属性の属性値により特定される。
図2の符号2001に示される属性値のうち、「個人ID」及び「氏名」の属性値は、各個人に固有の属性値、すなわちいずれか単体で個人を特定できる属性値である。このため、「個人ID」及び「氏名」の各属性値は、匿名化処理の際に削除される。
一方、「年齢」、「性別」及び「地域」並びにこれらの組み合わせの各属性値は、当該属性値に該当する個人がk人いる場合に、「1/k」の確率で個人を特定できる。例えば、特定の属性値に該当する個人が1人しかいない、すなわち「k=1」である場合、当該属性値に基づいて個人を特定できてしまう。図2の符号2001に示す例においては、年齢が「8」である個人、又は地域が「横浜市」である個人は、それぞれ1人しかいない。
このため、匿名化処理においては、例えば個人情報に含まれる属性値を抽象化することにより、当該属性値に基づいて個人を特定できないように情報を加工する。なお、匿名化処理の結果、どの属性値についても該当する個人が少なくともk人以上いる状態を「k−匿名性」といい、当該人数を「k−匿名レベル」という。
次に、匿名化処理により生成されるデータの一例について説明する。図2の符号2101に示すテーブルにおいて、「年齢」、「性別」及び「地域」の欄には、それぞれ図2の符号2001に示すテーブルの各欄と同一の属性値か、これを抽象化した属性値が示されている。以下、各レコードに示される属性値について説明する。
図2において、匿名化データ番号が「0001B」であるレコードは、個人IDが「0001」である個人の属性値のうち、年齢及び地域の属性値が「0〜10代・関東」に抽象化されている。この場合、図2の符号2001に示す6人のうち、個人IDが「0001」の個人に加えて、「0005」である個人の2人が、かかる属性値に該当する。さらに、匿名化データ番号が「0001C」であるレコードのように、性別の属性値が「null」に抽象化すると、図2の符号2001に示す6人のうち、個人IDが「0002」の個人、及び「0006」の個人も、当該属性値の組み合わせに該当する。
このように、プロバイダXは、個人情報を匿名化処理し、個人を特定できない形に加工した匿名化データを自ら利用し、又はデータ利用者に対して提供する。
図1の説明に戻って、プロバイダXは、匿名化データの利用状況を、一般ユーザに対して開示する。開示される匿名化データの利用状況は、例えば、匿名化データのk−匿名レベルを含む匿名化データの加工度、匿名化データの提供先、及び提供される匿名化データの項目を含む。なお、例えば年齢を何歳刻みにするか等の匿名化処理のより詳細な加工内容や、例えば学術研究やマーケティングなどの匿名化データを利用する目的等、その他の項目を含んでもよい。
また、プロバイダXは、匿名化データの利用状況に関する条件を予め設定し、又は一般ユーザから匿名化データの利用状況に関する条件の設定を受け付ける。プロバイダXは、匿名化データの利用状況が当該条件に該当するか否かを判定し、当該条件に該当する匿名化データの利用があった場合に、一般ユーザに利用状況の変更を通知する。
プロバイダが匿名化データを利用する場合、予め定められたプライバシーポリシー等に従って利用し、一般ユーザはプロバイダに個人情報を提供する際に、当該プライバシーポリシー等に同意する。その後、プロバイダは、匿名化データの流通に際し、一般ユーザの同意を得たプライバシーポリシー等を適宜変更し、プライバシーポリシー等の変更を自社のWebサイト等で周知するとともに、変更後のプライバシーポリシー等に従って匿名化データを利用する。
しかし、一般ユーザが、変更の都度プライバシーポリシーを確認するのは煩雑であり、またどこが変更されたのかが分かりにくいことが多い。その結果、プロバイダが意に反して匿名化データを利用する場合においても、一般ユーザがそれを把握することは難しい。
本実施例にかかる構成においては、匿名化データの利用状況の変更を、一般ユーザにわかりやすい形で提示し、また一般ユーザが予め定めた条件に該当する場合に通知を送信することにより、匿名化データの利用状況の変更を容易に把握できるようにする。
次に、本実施例においてプロバイダXに実装されるシステムの機能構成について説明する。図3は、実施例1におけるシステムの一例を示す機能ブロック図である。図3に示すように、本実施例におけるシステムは、管理サーバ10と、匿名化データ処理装置100とを有する。
管理サーバ10と匿名化データ処理装置100とは、相互に通信可能に接続されている。管理サーバ10は、ネットワークNを通じて、一般ユーザ端末300と相互に通信可能に接続される。また、匿名化データ処理装置100は、ネットワークNを通じて、データ利用者端末500と相互に通信可能に接続される。かかるネットワークNには、有線または無線を問わず、インターネット(Internet)を始め、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網を採用できる。なお、図3においては一般ユーザ端末及びデータ利用者端末がそれぞれ1台づつである例を示したが、実施例はこれに限られず、一般ユーザ端末及びデータ利用者端末を複数有するような構成であってもよい。
[管理サーバの機能構成]
まず、管理サーバ10の機能構成について説明する。管理サーバ10は、プロバイダXにおける匿名化データの利用状況を取得し、一般ユーザに対して利用状況を開示する処理を行うコンピュータである。図3に示されるように、管理サーバ10は、記憶部20と、制御部30とを有する。なお、管理サーバ10は、図3に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
まず、管理サーバ10の機能構成について説明する。管理サーバ10は、プロバイダXにおける匿名化データの利用状況を取得し、一般ユーザに対して利用状況を開示する処理を行うコンピュータである。図3に示されるように、管理サーバ10は、記憶部20と、制御部30とを有する。なお、管理サーバ10は、図3に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、管理サーバ10の各機能ブロックについて説明する。記憶部20は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部20は、利用状況DB21及びユーザ条件DB22を有する。また、記憶部20は、制御部30での処理に用いる各種情報を記憶する。
利用状況DB21は、プロバイダXにおける匿名化データのデータ利用者への提供状況を記憶する。図4は、実施例1における利用状況DBに記憶される情報の一例を示す図である。図4に示すように、利用状況DB21は、「提供先」と、「情報項目」と、「匿名レベル」と、「公開日」とを、「No」に対応付けて記憶する。なお、利用状況DB21が、匿名化データのデータ利用者への提供状況に加えて、プロバイダXの自社内での匿名化データの利用状況をさらに記憶するような構成であってもよい。
図4において、「提供先」の欄は、匿名化データが提供されるデータ利用者を示し、「情報項目」の欄は、提供される情報の項目を示し、「匿名レベル」の欄は、提供される匿名化データのk−匿名レベルを示す。また、図4において、「提供日」の欄は、各レコードに示す匿名化データが提供先に提供された日を示す。
図4の符号3001に示す例においては、プロバイダXが、「2015年3月3日」に、「Aモバイル」に対して、「GPS情報」を、「10−匿名状態」にて提供したことを示す。各匿名化データの利用状況は、「No」の欄に示す番号により一意に識別される。なお、同一の提供先に対して複数回にわたり匿名化データが提供された場合、利用状況DB21には、提供先が同一である複数のレコードが記憶される。
図3の説明に戻って、ユーザ条件DB22は、匿名化データの利用状況に関して、一般ユーザにより設定された条件を記憶する。図5は、実施例1におけるユーザ条件DBに記憶される情報の一例を示す図である。なお、ユーザ条件DB22が、一般ユーザにより条件が設定される前の初期状態において、プロバイダXが設定する条件を記憶するような構成であってもよい。
図5に示すように、ユーザ条件DB22は、「NG情報項目」と、「NG匿名レベル」と、「NG提供先」と、「連絡先」とを、「ユーザID」と対応付けて記憶する。「ユーザID」は、各一般ユーザを一意に識別する情報である。「NG情報項目」は、一般ユーザが利用を希望しない項目を示す。「NG匿名レベル」は、k−匿名レベルが当該数値以下になったときに、一般ユーザが匿名化データの利用を希望しないことを示す。「NG提供先」は、一般ユーザが匿名化データの提供を希望しない提供先を示す。「連絡先」は、NG情報項目、NG匿名レベル又はNG提供先に該当する匿名化データの利用があった場合における、各一般ユーザへの通知先を示す。「最終更新日」は、ユーザ条件が最後に更新された日を示す。
図5に示す例において、ユーザIDが「0001」であるユーザに対して、「地域」の項目の情報が提供され、k−匿名レベルが「10未満」の匿名化データが提供され、又は「Aモバイル」若しくは「D通信」に匿名化データが提供された場合に通知が送信される。なお、例えば、特定の属性値について提供したくない企業を個別に定めたり、特定の企業に対してはk−匿名レベルの低いデータを提供することを許可したりといったように、ユーザ条件を項目ごとに個別に設定できるような構成であってもよい。
なお、ユーザ条件DB22には、例えば図6に示すような画面において、一般ユーザから入力又は選択されたデータが記憶される。図6は、一般ユーザが条件を設定する画面の一例を示す図である。図6に示されるように、一般ユーザは、提供先、匿名レベル及び情報項目を選択し又は入力する。当該提供先、匿名レベル及び情報項目は、当該一般ユーザのユーザIDと対応付けられて、図5に示すユーザ条件DB22に記憶される。
図3の説明に戻って、制御部30は、例えば、CPUやMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部30は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。
この制御部30は、取得部31と、判定部32と、出力部33とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部30の内部構成は、図3に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、取得部31、判定部32及び出力部33は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
取得部31は、プロバイダXにおける匿名化データの利用状況、及び一般ユーザによる匿名化データの利用条件を取得する処理部である。具体的には、取得部31は、例えば、1日単位等の任意のタイミングで、図示しない通信部等を通じて、匿名化データ処理装置100にアクセスし、k−匿名レベルを含む匿名化データの利用状況を取得し、利用状況DB21に記憶する。
また、取得部31は、例えば、図示しない通信部等を通じて、一般ユーザ端末300から、図6に示すような画面において一般ユーザが選択又は入力した、匿名化データの利用条件を受信し、ユーザ条件DB22に記憶する。
判定部32は、匿名化データの利用状況が、予め設定されたユーザ条件に該当するか否かを判定する処理部である。判定部32は、利用状況DB21が更新されたときに、又は1日単位等の任意のタイミングで、利用状況DB21及びユーザ条件DB22からからレコードを読み込んで判定処理を行う。
例えば、利用状況DB21から、図4の符号3001に示すようなレコードを読み込んだ場合の判定部32による処理について説明する。上で述べたように、図4の符号3001は、プロバイダXが、「Aモバイル」に対して、「GPS情報」を、「10−匿名状態」にて提供したことを示す。
判定部32は、図5に示すようなユーザ条件DB22を参照し、各ユーザIDに対応する「NG情報項目」、「NG匿名レベル」又は「NG提供先」の各ユーザ条件が、図4の符号3001に示す利用状況に該当するかを判定する。ユーザ条件の少なくともいずれか1つが、図4の符号3001に示す利用状況に該当すると判断した場合、判定部32は、当該ユーザIDを通知対象IDとして特定する。特定された通知対象IDは、記憶部20に一時的に記憶される。
まず、ユーザIDが「0001」のレコードについては、NG提供先が「Aモバイル」を含むため、判定部32は、当該ユーザIDを通知対象IDとして特定する。次に、ユーザIDが「0002」のレコードについては、NG匿名レベルが「100未満」であり、図4の符号3001に示す利用状況と抵触するため、判定部32は、当該ユーザIDを通知対象IDとして特定する。また、ユーザIDが「0005」のレコードについては、NG情報項目が「GPS情報」を含むため、判定部32は、当該ユーザIDを通知対象IDとして特定する。一方、ユーザIDが「0003」のレコードについては、「NG情報項目」、「NG匿名レベル」又は「NG提供先」のいずれも、図4の符号3001に示す利用状況に抵触しないため、当該ユーザIDは通知対象IDとして特定されない。
図3の説明に戻って、出力部33は、一般ユーザに出力する情報を生成する処理部である。生成された情報は、図示しない通信部等を通じて、一般ユーザ端末300に送信される。
出力部33は、任意のタイミングで、又は一般ユーザから指示を受けて、図4に示す利用状況DB21を参照して、匿名化データの利用状況を表示する画面を生成する。図7は、実施例1における匿名化データの利用状況を表示する画面の一例を示す図である。図7に示すように、出力部33が生成する画面は、匿名化データの提供先、情報項目、匿名レベル及び提供日に関する表示を含む。なお、表示される項目のうち、出力先の一般ユーザのユーザ条件に該当するものがある場合は、表示画面において、当該項目をハイライト表示するような構成であってもよい。
また、出力部33は、判定部32の処理結果に基づいて、特定された通知対象IDの一般ユーザに送信する画面を生成する。図8は、一般ユーザに対する匿名化データの利用状況の通知画面の一例を示す図である。図8に示すように、出力部33は、ユーザ条件DB22に記憶された条件に該当する匿名化データの利用状況があったことを通知する画面を生成する。なお、当該画面の情報は、通知対象IDとして特定された「0001」、「0002」及び「0005」の各ユーザIDに対応する一般ユーザ端末300に対して送信される。図8の符号8001及び8011に示す各ボタンについては、後に詳しく説明する。なお、通知の方法としては、例えばユーザ条件DB22に記憶された電子メールアドレスに電子メールを送信する方法があるが、これに限られず、一般ユーザがプロバイダのサービスを利用中にポップアップ画面を表示させるような構成であってもよい。
[匿名化データ処理装置の機能構成]
次に、図3の説明に戻って、匿名化データ処理装置100の機能構成について説明する。匿名化データ処理装置100は、プロバイダXが保有する匿名化データを、データ利用者に提供する処理を行うコンピュータである。図3に示されるように、匿名化データ処理装置100は、記憶部120と、制御部130とを有する。なお、匿名化データ処理装置100は、図3に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、図3の説明に戻って、匿名化データ処理装置100の機能構成について説明する。匿名化データ処理装置100は、プロバイダXが保有する匿名化データを、データ利用者に提供する処理を行うコンピュータである。図3に示されるように、匿名化データ処理装置100は、記憶部120と、制御部130とを有する。なお、匿名化データ処理装置100は、図3に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、匿名化データ処理装置100の各機能ブロックについて説明する。記憶部120は、例えば、RAM、フラッシュメモリ等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部120は、匿名化情報DB121を有する。また、記憶部120は、制御部130での処理に用いる各種情報を記憶する。
匿名化情報DB121は、プロバイダXにおける匿名化データのデータ利用者への提供状況を記憶する。匿名化情報DB121は、利用状況DB21と同様の情報を記憶するため、データ内容の詳細な説明は省略する。
制御部130は、例えば、CPUやMPU等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部130は、例えば、ASICやFPGA等の集積回路により実現されるようにしてもよい。
この制御部130は、提供部131を有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部130の内部構成は、図3に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、提供部131は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
提供部131は、データ利用者に提供するデータを生成し、送信する処理部である。具体的には、提供部131は、匿名化データを、データ利用者が要望する情報項目及び匿名レベルに従って加工し、例えば図示しない通信部等を通じて、データ利用者端末500に送信する。また、提供部131は、当該加工された匿名化データの提供先、提供日、匿名レベル及び情報項目を、当該匿名化データが提供される都度、匿名化情報DB121に記憶する。
[管理サーバにおける処理の流れ]
次に、管理サーバ10による処理の流れについて説明する。図9は、管理サーバによる処理の流れの一例を示すフローチャートである。まず、管理サーバ10の取得部31は、一般ユーザ端末300から匿名化データの利用条件を取得し、ユーザ条件DB22に記憶する(ステップS101)。
次に、管理サーバ10による処理の流れについて説明する。図9は、管理サーバによる処理の流れの一例を示すフローチャートである。まず、管理サーバ10の取得部31は、一般ユーザ端末300から匿名化データの利用条件を取得し、ユーザ条件DB22に記憶する(ステップS101)。
次に、取得部31は、匿名化データ処理装置100から匿名化データの利用状況を取得し、利用状況DB21に記憶する(ステップS111)。次に、出力部33は、例えば図7に示すような画面の情報を生成し、一般ユーザ端末300に出力する(ステップS121)。
次に、判定部32は、利用状況DB21に記憶されたレコードと、ユーザ条件DB22に記憶されたレコードとを比較し、利用状況がユーザ条件に該当するか否かを判定する(ステップS131)。利用状況がユーザ条件に該当する場合(ステップS133:Yes)、判定部32は、当該条件に該当する一般ユーザを通知対象として特定する(ステップS135)。一方、利用状況がユーザ条件に該当しない場合(ステップS133:No)、ステップS141に移動する。
次に、判定部32は、ユーザ条件DB22に記憶された全てのユーザIDについて、判定処理を終了したか確認する(ステップS141)。まだ判定処理をしていないユーザIDがある場合(ステップS141:No)、ステップS131に戻って処理を続ける。一方、全てのユーザIDについて判定処理を終了した場合(ステップS141:Yes)、出力部33は、例えば図8に示すような画面の情報を生成し、通知対象として特定された一般ユーザに送信して(ステップS143)、処理を終了する。
上で述べたような処理により、匿名化データの利用状況が動的に生成され、一般ユーザに提供されるため、一般ユーザは自身の情報の利用状況を容易に知ることができ、プロバイダもプライバシーポリシー等を都度更新するコストを軽減できる。また、生成される匿名化データの利用状況は、プライバシーポリシー等の文言のような定性的なものではなく、定量的に評価できるものである。このため、一般ユーザは、当該プロバイダにおける従前の匿名化データの利用状況との違いや、他のプロバイダの匿名化データの利用状況との違いも容易に把握することができる。
また、一般ユーザは、度々変化する匿名化データの利用状況のうち、条件に該当した場合、すなわち自分の意に反する利用状況となった場合にのみ通知を受けることができるため、自分の意に反する個人状況の利用があったことを容易に把握できる。一般ユーザの多くは、複数のプロバイダに対して個人情報を提供しており、さらにほとんど利用していなかったり、既に利用を終了していたりするサービスについても匿名化データの利用状況を監視しなければならない場合がある。実施例1に示すような構成によれば、一般ユーザは、有用な情報についてのみ適切に通知を受けられるため、匿名化データの利用状況の監視の負担を軽減できる。
実施例1においては、単一のプロバイダXが、一般ユーザに対して、匿名化データの利用状況を開示する構成について説明したが、実施の形態はこれに限られない。例えば、匿名化データの利用状況の開示を受けた一般ユーザが、プロバイダXに対して評価をしたり、情報の利用停止の申し出をしたりできるような構成であってもよい。また、単一のプロバイダXに限らず、複数のプロバイダにおける匿名化データの利用状況をまとめて開示するような構成であってもよい。そこで、実施例2においては、匿名化データプラットフォームが、複数のプロバイダにおける匿名化データの利用状況をまとめて開示し、一般ユーザからプロバイダの評価や利用停止の申し出を受ける構成について説明する。なお、以下の説明では、プラットフォームをPFと省略して示す。
図10は、実施例2におけるシステムの全体構成の一例を示す模式図である。図10に示すように、匿名化データPFは、複数のプロバイダから個人情報の提供を受けて匿名化処理を行い、生成された匿名化データを、プロバイダによる指示に従ってデータ利用者に流通させる。なお、個人情報の匿名化処理、及び匿名化データの流通処理を、各プロバイダ、又はその他の第三者が実行するような構成であってもよい。
図10においては、プロバイダX及びプロバイダYの2者が存在する例を示したが、実施例はこれに限られず、プロバイダが3者以上存在するような構成であってもよい。また、図10においては一般ユーザ及びデータ利用者がそれぞれ3者である例を示したが、実施例はこれに限られず、一般ユーザ及びデータ利用者を4者以上有するような構成であってもよい。
また、匿名化データPFは、各プロバイダにおける匿名化処理における加工度、並びに流通させる匿名化データに含まれる項目及び流通させる提供先に関する情報を含む匿名化データの利用状況を、プロバイダの一般ユーザに対して開示する。その際、匿名化データPFは、複数のプロバイダにおける匿名化データの加工度及び利用状況を、相互に比較できるような態様で開示してもよい。
また、匿名化データPFは、一般ユーザから匿名化データの加工度及び利用状況に関する条件の設定を受け付け、条件に該当する匿名化データの利用があった場合に一般ユーザに通知する。さらに、匿名化データPFは、匿名化データの利用に対する、一般ユーザによる評価や、匿名化データの利用停止(オプトアウト)の申し立てを受け付ける。
また、匿名化データPFは、オプトアウトの申し出を受けた一般ユーザから、プロバイダ変更の申し出を受けた場合、プロバイダXが保有する個人情報データを、プロバイダYに移管することをプロバイダXに対して促すような構成であってもよい。
次に、本実施例におけるシステムの機能構成について説明する。図11は、実施例2におけるシステムの一例を示す機能ブロック図である。図11に示すように、本実施例におけるシステムは、匿名化データPF200と、複数のプロバイダのサーバ600a及び600bとを有する。以下、プロバイダXのサーバ600a及びプロバイダYのサーバ600bを区別することなく総称する場合にプロバイダのサーバ600と記載する。
匿名化データPF200とプロバイダのサーバ600とは、ネットワークNを通じて、一般ユーザ端末300と相互に通信可能に接続される。また、匿名化データPF200は、ネットワークNを通じて、データ利用者端末500と相互に通信可能に接続される。かかるネットワークNには、有線または無線を問わず、インターネットを始め、LANやVPNなどの任意の種類の通信網を採用できる。
[匿名化データPFの機能構成]
まず、匿名化データPF200の機能構成について説明する。図11に示されるように、匿名化データPF200は、記憶部220と、制御部230とを有する。なお、匿名化データPF200は、図11に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
まず、匿名化データPF200の機能構成について説明する。図11に示されるように、匿名化データPF200は、記憶部220と、制御部230とを有する。なお、匿名化データPF200は、図11に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、匿名化データPF200の各機能ブロックについて説明する。記憶部220は、例えば、RAM、フラッシュメモリ等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部220は、利用状況DB221、ユーザ条件DB222、評価DB223、オプトアウトDB224及び事故DB225を有する。また、記憶部220は、制御部230での処理に用いる各種情報を記憶する。
利用状況DB221は、各プロバイダにおける匿名化データのデータ利用者への提供状況を記憶する。図12は、実施例2における利用状況DBに記憶される情報の一例を示す図である。図12の符号1201に示すように、利用状況DB221は、複数のプロバイダについて、図4に示すような利用状況を合わせて記憶する。例えば、図12の符号1211は、「プロバイダY」における匿名化データの利用状況を示すレコードである。
図11の説明に戻って、ユーザ条件DB222は、匿名化データの利用状況に関して、各プロバイダの一般ユーザにより設定された条件を記憶する。図13は、実施例2におけるユーザ条件DBに記憶される情報の一例を示す図である。図13の符号1301に示すように、ユーザ条件DB222は、複数のプロバイダの一般ユーザのユーザ条件を合わせて記憶する。例えば、図13の符号1311は、「プロバイダY」の一般ユーザのユーザ条件を示すレコードである。なお、ユーザ条件DB222についても、ユーザ条件DB22と同様に、例えば図6に示すような画面において、一般ユーザから入力又は選択されたデータが記憶される。
図11の説明に戻って、評価DB223は、匿名化データの利用状況に対する各プロバイダの一般ユーザの評価を記憶する。図14は、評価DBに記憶される情報の一例を示す図である。図14に示すように、評価DB223は、プロバイダに対する評価を行った回答者数と、A評価からC評価までの各評価をした回答者の数と、有識者による評価と、総合評価とを、プロバイダの名称に対応付けて記憶する。当該回答者の数は、後に説明する図18に示すような画面において一般ユーザにより選択された評価に基づいて記憶される。また、評価DB223が、図18に示すような画面において一般ユーザから入力されたプロバイダの評価に関するコメントをさらに記憶するような構成であってもよい。
図11の説明に戻って、オプトアウトDB224は、各プロバイダに対してオプトアウトの申し出をした一般ユーザの数を記憶する。図15は、オプトアウトDBに記憶される情報の一例を示す図である。図15に示すように、オプトアウトDB224は、プロバイダに対してオプトアウトの申し出をした一般ユーザの数を、プロバイダの名称に対応付けて記憶する。オプトアウトの申し出をした一般ユーザの数は、例えば図8に示す画面の符号8011に示される「オプトアウトを希望する」ボタンを選択した一般ユーザの数を記憶する。なお、オプトアウトの申し出をした一般ユーザが、例えば後に説明する図19に示す画面において、さらに他のプロバイダへの変更を希望した場合に、オプトアウトDB224が、当該変更を希望した一般ユーザの数をさらに記憶するような構成であってもよい。
図11の説明に戻って、事故DB225は、各プロバイダにおいて発生した個人情報に関する事故の情報を記憶する。図16は、事故DBに記憶される情報の一例を示す図である。図16に示すように、事故DB225は、事故の発生日と、事故の発生元であるプロバイダ名と、事故内容と、事故の対象となった情報項目と、事故による情報の流出先とを、Noに対応付けて記憶する。
図11の説明に戻って、制御部230は、例えば、CPUやMPU等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部230は、例えば、ASICやFPGA等の集積回路により実現されるようにしてもよい。
この制御部230は、匿名化処理部231と、判定部232と、出力部233と、フィードバック取得部234とを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部230の内部構成は、図11に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、匿名化処理部231、判定部232、出力部233及びフィードバック取得部234は、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
匿名化処理部231は、プロバイダから受け付けた個人情報データの匿名化処理を行い、生成された匿名化データをデータ利用者に向けて流通させる処理部である。匿名化処理部231は、プロバイダのサーバ600から、匿名化処理の指示、匿名化データ流通の指示、及び匿名化処理に用いる個人情報の提供を受けて処理を行う。
匿名化処理部231は、匿名化処理を行ったとき、又は匿名化データをデータ利用者に提供したときに、当該匿名化データの加工度、匿名化データに含まれる情報項目、匿名化データの提供先及び提供された日を、利用状況DB221に記憶する。なお、個人情報の匿名化処理又は匿名化データの流通処理を、各プロバイダ又はその他の第三者が実行するような構成においては、匿名化処理部231は、当該処理を実行する者から、当該匿名化データの加工度等を取得し、利用状況DB221に記憶する。
判定部232は、匿名化データの利用状況が、予め設定されたユーザ条件に該当するか否かを判定する処理部である。判定部232は、利用状況DB221及びユーザ条件DB222からからレコードを読み込んで判定処理を行う。判定処理については、実施例1の判定部32における処理と同様であるため、詳細な説明は省略する。
出力部233は、一般ユーザに出力する情報を生成する処理部である。生成された情報は、図示しない通信部等を通じて、一般ユーザ端末300に送信される。
出力部233は、図12に示す利用状況DB221を参照して、例えば図17に示すような、匿名化データの利用状況を表示する画面を生成する。図17は、実施例2における匿名化データの利用状況を表示する画面の一例を示す図である。図17に示すように、出力部233が生成する画面は、図7に示すようなプロバイダXの匿名化データの提供先、情報項目、匿名レベル及び提供日に関する表示に加えて、プロバイダYに関する表示も含む。本実施例における画面の一例は、図17の符号1701及び1711に示すようなボタンをさらに含む。
また、出力部233は、判定部232の処理結果に基づいて、特定された通知対象IDの一般ユーザに送信する画面を生成する。送信される画面は、実施例1の図8と同様であるので、詳細な説明は省略する。
さらに、出力部233は、図17の符号1701及び図8の符号8001に示す「評価をつける」ボタンが選択された場合に、例えば図18に示すような、プロバイダに対する評価の入力を当該一般ユーザに促す画面を生成する。図18は、評価入力画面の一例を示す図である。図18に示すように、評価入力画面は、符号1801のような評価を3段階から選択する欄と、符号1811のようなコメント入力欄とを含む。評価入力画面が、図18に示すように、評価対象となるプロバイダX及び競合するプロバイダYについて、一般ユーザ及び有識者による評価結果や、各プロバイダの事故情報をさらに含むような構成であってもよい。
図18に示す画面を参照した一般ユーザが、プロバイダXに対する評価を選択又は入力し、図18の符号1821に示す「決定」ボタンを押すと、選択又は入力された評価が、一般ユーザ端末300から匿名化データPF200に送信される。
また、出力部233は、図17の符号1711及び図8の符号8011に示す「オプトアウトを希望する」ボタンが選択された場合に、例えば図19に示すような、他のプロバイダを紹介する画面を生成する。
図19は、代替プロバイダ紹介画面の一例を示す図である。図19に示すように、代替プロバイダ紹介画面は、他のプロバイダYについて、匿名加工情報の利用状況、一般ユーザ及び有識者からの評価等を、プロバイダXに対するオプトアウト要求を送信した一般ユーザに提示する。
出力部233は、代替プロバイダとして、例えば、複数のプロバイダの中から、プロバイダX以外で最も評価が高いものを選択する。また、当該一般ユーザのユーザ条件と、プロバイダの利用状況とを参照し、ユーザ条件に違反する匿名化データの利用状況が最も少ないものを選択するような構成であってもよい。
なお、競合プロバイダへのサービスの乗り換えを促進するために、競合プロバイダから受け付けた広告等を図19に示す画面に表示するような構成であってもよい。また、競合プロバイダとの比較に供するため、匿名化データの利用状況の比較だけでなく、プロバイダ間のサービス内容の比較を表示させるような構成であってもよい。
図19に示すような画面を参照した一般ユーザが、図19の符号1901に示す「プロバイダ変更を希望する」ボタンを押すと、一般ユーザ端末300から匿名化データPF200に、当該一般ユーザがプロバイダの変更を希望する旨の情報が送信される。
フィードバック取得部234は、一般ユーザ端末300から送信される匿名化データの利用条件、並びに評価及びオプトアウト要求を、図示しない通信部等を通じて受信する処理部である。
フィードバック取得部234は、図6に示されるような画面を通じて一般ユーザが選択又は入力した匿名化データの利用条件を受信し、ユーザ条件DB222に記憶する。
また、フィードバック取得部234は、図18に示されるような評価入力画面を通じて一般ユーザ端末300からプロバイダの評価を受信すると、受信した評価を用いて評価DB223を更新する。
また、フィードバック取得部234は、一般ユーザ端末300から、プロバイダに対するオプトアウト要求を受信すると、オプトアウトDB224における当該プロバイダに対するオプトアウト希望者数を1増加させる。
さらに、フィードバック取得部234は、一般ユーザ端末300から、プロバイダの変更を希望する旨の情報を受信すると、オプトアウトDB224における当該プロバイダから変更対象プロバイダへの変更希望者数を1増加させる。
[プロバイダのサーバの機能構成]
次に、プロバイダXのサーバ600aの機能構成について説明する。プロバイダXのサーバ600aは、各プロバイダが保有する個人情報データを管理するコンピュータである。なお、プロバイダYのサーバ600bもプロバイダXのサーバ600aと同様の機能を有するため、詳細な説明は省略する。
次に、プロバイダXのサーバ600aの機能構成について説明する。プロバイダXのサーバ600aは、各プロバイダが保有する個人情報データを管理するコンピュータである。なお、プロバイダYのサーバ600bもプロバイダXのサーバ600aと同様の機能を有するため、詳細な説明は省略する。
図11に示されるように、プロバイダXのサーバ600aは、記憶部620aと、制御部630aとを有する。なお、プロバイダXのサーバ600aは、図11に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイス等の機能部を有することとしてもかまわない。
次に、プロバイダXのサーバ600aの各機能ブロックについて説明する。記憶部620aは、例えば、RAM、フラッシュメモリ等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。記憶部620aは、個人情報DB621aを有する。また、記憶部620aは、制御部630aでの処理に用いる各種情報を記憶する。
個人情報DB621aは、一般ユーザから提供された個人情報データを記憶する。個人情報DB621aは、例えば図2の符号2001に示すようなデータを記憶する。
制御部630aは、例えば、CPUやMPU等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部630aは、例えば、ASICやFPGA等の集積回路により実現されるようにしてもよい。
この制御部630aは、提供部631aを有し、以下に説明する情報処理の機能や作用を実現または実行する。なお、制御部630aの内部構成は、図11に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、提供部631aは、プロセッサなどの電子回路の一例またはプロセッサなどが実行するプロセスの一例である。
提供部631aは、匿名化データPF200に、データ利用者への匿名化データの提供の指示を送信し、匿名化処理に用いる個人情報を提供する処理部である。具体的には、提供部631aは、提供する匿名化データに含める項目、提供する対象となるデータ利用者及び匿名レベルを、例えば図示しない通信部等を通じて、匿名化データPF200に送信する。また、提供部631aは、個人情報DB621aから匿名化処理に用いる個人情報データを読み出し、匿名化データPF200に提供する。
[匿名化データPFにおける処理の流れ]
次に、匿名化データPF200による処理の流れについて説明する。図20は、匿名化データPFにおける処理の流れの一例を示すフローチャートである。まず、匿名化データPF200の匿名化処理部231は、各プロバイダについて、匿名化データの加工度、匿名化データの提供先、及び提供される匿名化データの項目を取得し、利用状況DB221に記憶する(ステップS201)。
次に、匿名化データPF200による処理の流れについて説明する。図20は、匿名化データPFにおける処理の流れの一例を示すフローチャートである。まず、匿名化データPF200の匿名化処理部231は、各プロバイダについて、匿名化データの加工度、匿名化データの提供先、及び提供される匿名化データの項目を取得し、利用状況DB221に記憶する(ステップS201)。
次に、匿名化処理部231は、全てのプロバイダについて、匿名化データの加工度等を取得したか確認する(ステップS211)。まだ取得していないプロバイダがある場合(ステップS211:No)、ステップS201に戻って処理を続ける。
一方、全てのプロバイダについて取得を終了した場合(ステップS211:Yes)、出力部233は、利用状況DB221を参照し、例えば図17に示すような画面の情報を生成し、一般ユーザ端末300に出力する(ステップS221)。
次に、判定部232は、利用状況DB221に記憶されたレコードと、ユーザ条件DB222に記憶されたレコードとを比較し、各プロバイダの利用状況が、当該プロバイダの一般ユーザが指定したユーザ条件に該当するか否かを判定する(ステップS231)。利用状況がユーザ条件に該当する場合(ステップS233:Yes)、判定部232は、当該条件に該当する一般ユーザを通知対象として特定する(ステップS235)。一方、利用状況がユーザ条件に該当しない場合(ステップS233:No)、ステップS241に移動する。
次に、判定部232は、ユーザ条件DB222に記憶された全てのユーザIDについて、判定処理を終了したか確認する(ステップS241)。まだ判定処理をしていないユーザIDがある場合(ステップS241:No)、ステップS231に戻って処理を続ける。一方、全てのユーザIDについて判定処理を終了した場合(ステップS241:Yes)出力部233は、例えば図8に示すような画面の情報を生成し、通知対象として特定された一般ユーザに送信して(ステップS243)、処理を終了する。
次に、一般ユーザ端末からフィードバックを受信した場合における、匿名化データPF200による処理の流れについて説明する。図21は、匿名化データPFにおける処理の流れの別の一例を示すフローチャートである。まず、匿名化データPF200のフィードバック取得部234は、一般ユーザ端末300からフィードバックを取得するまで待機する(ステップS301:No)。
一般ユーザ端末300からフィードバックを取得した場合(ステップS301:Yes)、当該フィードバックがプロバイダに対する評価要求であるかを判断する(ステップS311)。プロバイダに対する評価要求を受信した場合(ステップS311:Yes)、出力部233は、例えば図18に示すような評価入力画面を生成し、一般ユーザ端末300に送信する(ステップS321)。その後、一般ユーザ端末300から評価を受信するまで待機する(ステップS323:No)。
一般ユーザ端末300から評価を受信した場合(ステップS323:Yes)、フィードバック取得部234は、受信した評価を用いて評価DB223を更新し(ステップS325)、処理を終了する。
一方、一般ユーザ端末300からオプトアウト要求を受信した場合(ステップS311:No)、フィードバック取得部234は、オプトアウトDB224を更新する(ステップS331)。次に、出力部233は、例えば図19に示すような代替プロバイダ紹介画面を生成し、一般ユーザ端末300に送信し(ステップS333)、一般ユーザ端末300からプロバイダ変更要求を受信するまで待機する(ステップS335:No)。
一般ユーザ端末300からプロバイダ変更要求を受信した場合(ステップS335:Yes)、フィードバック取得部234は、オプトアウトDB224を更新し(ステップS337)、処理を終了する。
上で述べたような処理により、一般ユーザは、意に反する個人情報の利用があった場合に、プロバイダに対して苦情を申し入れることが容易にできるようになる。また、プロバイダは、匿名化データの利用状況の変化による一般ユーザの反応を容易に把握できることで、一般ユーザの反応を考慮して、匿名化データの利用状況を柔軟に変更できるようになる。
さらに、一般ユーザは、意に反する個人情報の利用があった場合に、他のプロバイダのサービスとの比較や、他のプロバイダのサービスへ乗り換える手続きが容易にできるようになる。また、プロバイダも、一般ユーザからのオプトアウトの申し出への対応を簡素化することができる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。例えば、図9、図20及び図21に示す各処理は、上記の順番に限定されるものではなく、処理内容を矛盾させない範囲において、同時に実施してもよく、順序を入れ替えて実施してもよい。
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上で述べた各実施例においては、個人情報について実施する例として説明したが、適用範囲はこれに限られず、例えば企業等の法人に関する情報など、当該情報に該当する対象を特定されることを抑制したいその他の情報について実施してもよい。
実施例1において、管理サーバ10と匿名化データ処理装置100とが別個のコンピュータにより実装される例を図3で示したが、1つのコンピュータにより2つの機能が実装されるような構成であってもよい。
なお、実施例2において、図19の符号1901に示す「プロバイダ変更を希望する」ボタンを一般ユーザが選択した場合、匿名化データPF200が、プロバイダXからプロバイダYに個人情報を移管するような構成であってもよい。かかる構成において、匿名化データPF200は、一般ユーザから個人情報の移管に関する同意を取得し、プロバイダXから当該一般ユーザの個人情報を取得して、プロバイダYに提供する。
また、図10においては、各プロバイダが一般ユーザから直接個人情報の提供を受ける構成を示したが、各プロバイダの代わりに、匿名化データPF200が一般ユーザから個人情報の提供を受けるような構成であってもよい。かかる構成によれば、一般ユーザが他のプロバイダへの乗り換えを希望する際に、匿名化データPF200が他のプロバイダへの個人情報の移管を容易に行うことができる。
また、各実施例においては、匿名化データの加工度としてk−匿名レベルを用いる例を説明したが、匿名化データの加工度はこれに限られず、l−多様性やt−近接性などのその他のレベルを用いてもよい。
[システム]
また、図示した装置の各構成は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、任意の単位で分散または統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した装置の各構成は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、任意の単位で分散または統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
更に、各装置で行われる各種処理機能は、CPU(又はMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしてもよい。
上記管理サーバ10及び匿名化データ処理装置100、並びに匿名化データPF200は、例えば、図22に示すコンピュータ2000のようなハードウェア構成により実現することができる。図22は、ハードウェア構成の一例を示す図である。図22に示すように、コンピュータ2000は、プロセッサ2001と、メモリ2002と、IF2003を有する。
プロセッサ2001の一例としては、CPU、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)等が挙げられる。また、メモリ2002の一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。
そして、上記管理サーバ10及び匿名化データ処理装置100、並びに匿名化データPF200で行われる各種処理機能は、不揮発性記憶媒体などの各種メモリに格納されたプログラムを制御装置が備えるプロセッサで実行することによって実現してもよい。すなわち、取得部31、判定部32及び出力部33によって実行される各処理に対応するプログラムがメモリ2002に記録され、各プログラムがプロセッサ2001で実行されてもよい。また、匿名化処理部231、判定部232、出力部233、フィードバック取得部234、及び提供部131によって実行される各処理に対応するプログラムがメモリ2002に記録され、各プログラムがプロセッサ2001で実行されてもよい。
10 管理サーバ
100 匿名化データ処理装置
200 匿名化データPF
300 一般ユーザ端末
500 データ利用者端末
600a、600b プロバイダのサーバ
20、120、220、620 記憶部
21、221 利用状況DB
22、222 ユーザ条件DB
121 匿名化情報DB
223 評価DB
224 オプトアウトDB
225 事故DB
621 個人情報DB
30、130、230、630 制御部
31 取得部
32、232 判定部
33、233 出力部
131、631 提供部
231 匿名化処理部
234 フィードバック取得部
100 匿名化データ処理装置
200 匿名化データPF
300 一般ユーザ端末
500 データ利用者端末
600a、600b プロバイダのサーバ
20、120、220、620 記憶部
21、221 利用状況DB
22、222 ユーザ条件DB
121 匿名化情報DB
223 評価DB
224 オプトアウトDB
225 事故DB
621 個人情報DB
30、130、230、630 制御部
31 取得部
32、232 判定部
33、233 出力部
131、631 提供部
231 匿名化処理部
234 フィードバック取得部
Claims (8)
- コンピュータが、
個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する処理と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する処理と、
前記匿名化データの利用状況の判定結果に対する前記個人の評価、又は前記個人による前記匿名化データの利用停止要求を取得する処理と
を実行することを特徴とする判定方法。 - コンピュータが、
個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する処理と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する処理と、
前記個人情報を抽象化して第2の匿名化データに加工する際に基準とした、加工に関する第2の加工情報を取得する処理と、
前記匿名化条件と、前記第2の加工情報とに基づいて、前記第2の匿名化データの利用状況を判定する処理と、
前記第2の匿名化データの利用状況が前記匿名化条件を満たすと判定された場合に、前記第2の匿名化データの提供元であるサービス提供者に関する情報を出力する処理と
を実行することを特徴とする判定方法。 - 前記取得する処理は、前記匿名化データのk−匿名レベル、前記匿名化データの提供先、及び前記匿名化データに含まれる項目を取得し、
前記判定する処理は、当該匿名化データが前記匿名化条件で定められる提供先に提供される場合、当該提供される匿名化データが前記匿名化条件で定められる項目を含む場合、又は前記k−匿名レベルが前記匿名化条件で定められるk−匿名レベル未満である場合に、前記匿名化データの利用状況が、前記匿名化条件を満たさないと判定することを特徴とする請求項1又は2に記載の判定方法。 - 前記匿名化条件として、前記k−匿名レベル、前記匿名化データの提供先、及び前記匿名化データに含まれる項目の入力を前記個人から受け付ける処理をさらに実行する請求項3に記載の判定方法。
- 個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する第1取得部と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する判定部と、
前記匿名化データの利用状況の判定結果に対する前記個人の評価、又は前記個人による前記匿名化データの利用停止要求を取得する第2取得部と
を有することを特徴とする判定装置。 - 個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する第1取得部と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する第1判定部と、
前記個人情報を抽象化して第2の匿名化データに加工する際に基準とした、加工に関する第2の加工情報を取得する第2取得部と、
前記匿名化条件と、前記第2の加工情報とに基づいて、前記第2の匿名化データの利用状況を判定する第2判定部と、
前記第2の匿名化データの利用状況が前記匿名化条件を満たすと判定された場合に、前記第2の匿名化データの提供元であるサービス提供者に関する情報を出力する出力部と
を有することを特徴とする判定装置。 - コンピュータに、
個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する処理と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する処理と、
前記匿名化データの利用状況の判定結果に対する前記個人の評価、又は前記個人による前記匿名化データの利用停止要求を取得する処理と
を実行させることを特徴とする判定プログラム。 - コンピュータに、
個人から提供された個人情報が匿名化された匿名化データについて、前記個人情報を抽象化して前記匿名化データに加工する際に基準とした、加工に関する加工情報を取得する処理と、
前記個人が前記個人情報の提供先に対して許諾した、前記個人情報の匿名化に関する匿名化条件と、前記加工情報とに基づいて、前記匿名化データの利用状況を判定する処理と、
前記個人情報を抽象化して第2の匿名化データに加工する際に基準とした、加工に関する第2の加工情報を取得する処理と、
前記匿名化条件と、前記第2の加工情報とに基づいて、前記第2の匿名化データの利用状況を判定する処理と、
前記第2の匿名化データの利用状況が前記匿名化条件を満たすと判定された場合に、前記第2の匿名化データの提供元であるサービス提供者に関する情報を出力する処理と
を実行させることを特徴とする判定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015125021A JP5893197B1 (ja) | 2015-06-22 | 2015-06-22 | 判定方法、判定装置及び判定プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015125021A JP5893197B1 (ja) | 2015-06-22 | 2015-06-22 | 判定方法、判定装置及び判定プログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016032383A Division JP6161750B2 (ja) | 2016-02-23 | 2016-02-23 | 判定方法、判定装置及び判定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5893197B1 true JP5893197B1 (ja) | 2016-03-23 |
| JP2017010268A JP2017010268A (ja) | 2017-01-12 |
Family
ID=55541229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015125021A Active JP5893197B1 (ja) | 2015-06-22 | 2015-06-22 | 判定方法、判定装置及び判定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5893197B1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019537771A (ja) * | 2016-10-03 | 2019-12-26 | ジェムアルト エスアー | 少なくとも1つのデバイスにデータを送信するための方法、データ送信制御サーバ、データストレージサーバ、データ処理サーバ、及びシステム |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7178811B2 (ja) * | 2018-06-27 | 2022-11-28 | 株式会社日立製作所 | サービス支援システム、及びサービス支援方法 |
| EP4287056A1 (en) | 2021-01-28 | 2023-12-06 | Hitachi, Ltd. | Data distribution control method, data distribution control system, and authorization server |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014229039A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | プライバシ保護型データ提供システム |
-
2015
- 2015-06-22 JP JP2015125021A patent/JP5893197B1/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014229039A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | プライバシ保護型データ提供システム |
Non-Patent Citations (1)
| Title |
|---|
| JPN6015045234; 'パーソナルデータ利活用の基盤となる消費者と事業者の信頼関係の構築に向けて' [online] , 20130510, pp.21-23 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019537771A (ja) * | 2016-10-03 | 2019-12-26 | ジェムアルト エスアー | 少なくとも1つのデバイスにデータを送信するための方法、データ送信制御サーバ、データストレージサーバ、データ処理サーバ、及びシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017010268A (ja) | 2017-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230161908A1 (en) | Systems and Methods for Context-Based Permissioning of Personally Identifiable Information | |
| Ballantyne | How should we think about clinical data ownership? | |
| JP6320538B2 (ja) | ロールベース匿名化 | |
| US9317716B2 (en) | Privacy protection-type data providing system | |
| KR101917286B1 (ko) | 건강 레지스트리 | |
| US10091325B2 (en) | Methods and systems for data services | |
| Ansumana et al. | Ebola in Sierra Leone: a call for action | |
| Bahtiyar et al. | Trust assessment of security for e-health systems | |
| US20150012631A1 (en) | Method and apparatus for anonymously acquiring service information | |
| JP6854090B2 (ja) | 情報提供装置、情報提供方法および情報提供プログラム | |
| JP6161750B2 (ja) | 判定方法、判定装置及び判定プログラム | |
| JP2006309737A (ja) | 開示情報提示装置、個人特定度算出装置、id度取得装置、アクセス制御システム、開示情報提示方法、個人特定度算出方法、id度取得方法、及びプログラム | |
| JP5893197B1 (ja) | 判定方法、判定装置及び判定プログラム | |
| JPWO2015118801A1 (ja) | 情報判定装置、情報判定方法及びプログラム | |
| Vimalachandran et al. | Preserving patient-centred controls in electronic health record systems: A reliance-based model implication | |
| JP2019046036A (ja) | データ流通方法及びデータ流通基盤装置 | |
| Ruotsalainen | Privacy, trust and security in two-sided markets | |
| Wickramasinghe et al. | A user-centric privacy-preserving approach to control data collection, storage, and disclosure in own smart home environments | |
| Peras et al. | Influence of GDPR on social networks used by omnichannel contact center | |
| Vassy et al. | Appropriateness: a key to enabling the use of genomics in clinical practice? | |
| JP6283519B2 (ja) | 制御装置、制御方法、及び制御プログラム | |
| Cuzzocrea et al. | Intelligent sensor data fusion for supporting advanced smart health processes | |
| US20130339432A1 (en) | Monitoring connection requests in social networks | |
| van Oosterum | Privacy, autonomy and direct-to-consumer genetic testing: a response to Vayena | |
| Kneuper | Data Protection in the EU and its Implications on Software Development outside the EU |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160223 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5893197 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |