JP5895080B2 - データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 - Google Patents
データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 Download PDFInfo
- Publication number
- JP5895080B2 JP5895080B2 JP2015079666A JP2015079666A JP5895080B2 JP 5895080 B2 JP5895080 B2 JP 5895080B2 JP 2015079666 A JP2015079666 A JP 2015079666A JP 2015079666 A JP2015079666 A JP 2015079666A JP 5895080 B2 JP5895080 B2 JP 5895080B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- partial
- partial data
- original data
- calculation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims description 289
- 238000000034 method Methods 0.000 title claims description 88
- 238000004364 calculation method Methods 0.000 claims description 154
- 230000008569 process Effects 0.000 claims description 47
- 239000003550 marker Substances 0.000 description 42
- 238000007726 management method Methods 0.000 description 24
- 238000013500 data storage Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 19
- 238000003860 storage Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 17
- 238000004458 analytical method Methods 0.000 description 15
- 238000012360 testing method Methods 0.000 description 14
- 238000009826 distribution Methods 0.000 description 13
- 230000008520 organization Effects 0.000 description 11
- 238000012790 confirmation Methods 0.000 description 6
- 238000007619 statistical method Methods 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000002360 preparation method Methods 0.000 description 5
- 238000000540 analysis of variance Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000007476 Maximum Likelihood Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 230000036772 blood pressure Effects 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 238000000611 regression analysis Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 210000000577 adipose tissue Anatomy 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000037396 body weight Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000002483 medication Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000009418 renovation Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012353 t test Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Description
タを渡されることなく、何らかの秘匿化処理が行われたデータを渡されて、解析処理を行う。その際、外部の者が、渡されたデータから、組織内に秘匿されているオリジナルデータを求めることができないようにするために、種々の手法が開発されている。
れて複数の演算装置に分散して渡されるため、いずれの演算装置もオリジナルデータを取得せず、データ処理装置もオリジナルデータを取得しない。よって、オリジナルデータを保持しないことで、秘匿すべき情報が漏洩するリスクを低減することが可能になる。一方で、各演算装置が、部分データについて演算を行い、データ処理装置が、複数の演算装置からの演算結果を利用することで、オリジナルデータの集合についての統計処理の結果を得ることが可能になる。
結果を求めることが、オリジナルデータを取得することなく可能になる。例えば、i番目
のデータ入力装置(i=1,2,…,N)が、Xi=x1i+x2i+…+xmiとなるように
、m個の部分データxjiを生成し、j番目の演算装置(j=1,2,…,m)が、N個の部分データの総和(xj1+xj2+…+xjN)の値を求め、データ処理装置が、m個の演算装置が求めた値の総和を求めれば、(X1+X2+…+XN)の値が求められる。
うに、m個の部分データxjiを生成し、さらに、m個の部分データ[Σj≠k(xjixki)](以下、「x’ji」と記す)を生成し、j番目の演算装置(j=1,2,…,m)が、N個の部分データxjiの2乗和(xj1 2+xj2 2+…+xjN 2)の値を求め、j番目の演算
装置(j=m+1,m+2,…,2m)が、N個の部分データx’jiの総和(x’j1+x’j2+…+x’jN)の値を求め、データ処理装置が、2m個の演算装置が求めた値の総和を求めれば、(X1 2+X2 2+…+XN 2)の値が得られる。
+…+xmiとなるように、m個の部分データxjiを生成し、さらに、m+1番目の部分データ[Σj(Σj≠k(xjixki))](以下、「x”i」と記す)を生成し、j番目の演算装置(j=1,2,…,m)が、N個の部分データxjiの2乗和(xj1 2+xj2 2+…+xjN 2)の値を求め、m+1番目の演算装置が、N個の部分データx”iの総和(x”1+x
”2+…+x”N)の値を求め、データ処理装置が、m+1個の演算装置が求めた値の総和を求めるのでも、(X1 2+X2 2+…+XN 2)の値が得られる。
るようにxjiを定めて、m個の部分データxji 2と、m個の部分データx’jiとを生成し
、j番目の演算装置(j=1,2,…,m)が、N個の部分データxji 2の総和(xj1 2+xj2 2+…+xjN 2)の値を求め、j番目の演算装置(j=m+1,m+2,…,2m)が、N個の部分データx’jiの総和(x’j1+x’j2+…+x’jN)の値を求め、データ処理装置が、2m個の演算装置が求めた値の総和を求めれば、(X1 2+X2 2+…+XN 2)の値が得られる。
+…+xmiとなるようにxjiを定めて、m個の部分データxji 2と、1個の部分データx
”iとを生成し、j番目の演算装置(j=1,2,…,m)が、N個の部分データxji 2の総和(xj1 2+xj2 2+…+xjN 2)の値を求め、m+1番目の演算装置が、N個の部分デ
ータx”iの総和(x”1+x”2+…+x”N)の値を求め、データ処理装置が、m+1個の演算装置が求めた値の総和を求めるのでも、(X1 2+X2 2+…+XN 2)の値が得られる。
オリジナルデータの集合(N個のオリジナルデータYi)の内積(X1Y1+X2Y2+…+
XNYN)という統計処理の結果を求めることが、オリジナルデータを取得することなく可能になる。例えば、i番目の第1のデータ入力装置(i=1,2,…,N)が、Xi=x1i+x2i+…+xmiとなるように、m個の部分データxjiを生成し、i番目の第2のデー
タ入力装置(i=1,2,…,N)が、Yi=y1i+y2i+…+ymiとなるように、m個
の部分データykiを生成し、jk番目の演算装置(jk=1,2,…,m2)が、N個の
部分データxjiとN個の部分データykiとの内積(xj1yk1+xj2yk2+…+xjNykN)の値を求め、データ処理装置が、m2個の演算装置が求めた値の総和を求めれば、(X1Y1+X2Y2+…+XNYN)の値が求められる。
記秘密の比率の記憶を消去する手段をさらに備えるようにしてもよい。
前記複数の演算装置のうちいずれへ送信すべきかを決定する手段を備え、前記複数の演算装置のそれぞれが、前記複数のデータ入力装置から受信した複数の前記部分データのうちいずれを対象として所定の演算を行うべきかを決定する手段を備えるようにしてもよい。
対応する演算装置に受信され保存されているが、別の部分データは対応する演算装置に受信されていない場合に、各演算装置が、自身に保存されている部分データ全てを対象に演算してしまうと、それらの演算装置からの演算結果を処理した結果は、誤ったものとなってしまう。ここで、複数の演算装置を統括的に利用するサーバ装置が、全ての部分データが揃っているものを各演算装置に伝えれば、正しい統計処理結果を得ることが可能になる。
の安全性を実現することができる。
の比率に従って分割し、所定の個数の部分データを生成する手段と、前記所定の個数の部分データのそれぞれを、前記複数の演算装置のうちの対応する演算装置への前記複数の入力データの1つとして、保護された通信路により送信する手段とを備えさせるものであり、前記複数の演算装置のそれぞれが、複数の前記データ入力装置からの部分データに基づいて前記所定の演算を行った結果を、前記複数の演算装置とは異なるサーバ装置が利用することにより、複数の前記データ入力装置により取得された複数の前記オリジナルデータに基づく統計処理の結果が、該オリジナルデータが秘匿されたまま求められる。
業者もしくはデータ生成源の所有者が決めればよい。
イス内で乱数を発生させる等により、ランダムに定め、その比率は、秘密とする(この処理を、「ランダムシェアによる秘匿分割」という)。
とを、「H(xi|x1i)=H(xi)&H(xi|x2i)=H(xi)」と表す)。これにより、単一のクラウドにおけるデータ流出ではオリジナルデータを復元できないことが、担保される。
る時点で、第1のクラウドサービス設備30−1にはN個の部分データ{x11,x12,…,x1N}が保存されており、第2のクラウドサービス設備30−2にはN個の部分データ{x21,x22,…,x2N}が保存されている状態になる。
ス設備30−2は、N個の部分データx2iの総和を計算した結果f(X2)を統計処理結
果提供サーバ50へ送信する。Nが膨大な数である場合、クラウド上の計算機リソースを使って処理ができることも、重要な利点となる。
供されるサービスの利用者は、統計解析の結果のみを参照する。
、統計処理結果提供サーバ50を運営する解析事業者に対しても、オリジナルデータの秘匿性を高く保つことが可能である。
都度、デバイス内で乱数を発生させる等により、ランダムに定め、その比率は、秘密とする。
いて完全秘匿性を持ち、また、例えば、x1i〜x(m-1)iの値が分かっても、xmiの値が分からなければ、xiを復元できないことから、同時に (m−1) 箇所のデータ流出があっ
ても、秘匿性は維持されることになる。
ーバ50は、送信されてきた結果について、総和を求める処理を行う。「f(X1)+f
(X2)+…+f(Xm)」の値は、(x1i+x2i+…+xmi)のiを1からNまで合計した値と等しくなるから、オリジナルデータxiの総和を求めたことになる。
理をf(Xi)と記述しているが、図3及び図4では、同じ総和を求める処理をfΣ(Xi)と表し、iが1からNまでのxiの2乗和を求める処理をfS(Xi)と記述する。
X2)と、第3のクラウドサービス設備30−3からの総和fΣ(X12)とを用いて、N
個のオリジナルデータの2乗和fS(X)を求める点を説明しているが、同時に、第1の
クラウドサービス設備30−1からの総和fΣ(X1)と、第2のクラウドサービス設備
30−2からの総和fΣ(X2)とを用いて、N個のオリジナルデータの総和fΣ(X)
を求めることも可能である。
シェアによる秘匿分割を行い、xiはxi=x1i+x2iを満たすように分割される。統計処理の結果として2乗和を求めたい場合、各データ入力デバイス10−iはさらに、x1iとx2iを乗算した値を求めて、x1i,x2i,x1ix2iの3つを、xiの部分データとして生
成する。図3のようにx1ix2iをも生成してアップロードすべきか、図1のようにx1iとx2iだけでよいかを、統計処理結果提供サーバ50が各データ入力デバイス10−iに指示するようにしてもよい。
へ送信し、第2のクラウドサービス設備30−2は、N個の部分データx2iの総和と2乗和をそれぞれ計算した結果fΣ(X2)とfS(X2)を統計処理結果提供サーバ50へ送
信し、第3のクラウドサービス設備30−3は、N個の部分データx1ix2iの総和と2乗和をそれぞれ計算した結果fΣ(X12)とfS(X12)を統計処理結果提供サーバ50へ
送信する。
ちxiの2乗和)を求めたことになる。
果は用いられない。また、図3の構成で総和のみを求める場合、第1及び第2クラウドからのfS(Xj)の結果は用いられず、第3のクラウドからのいずれの結果も用いられない
ことになる。
らにいえばオリジナルデータなのか部分データなのかさえ、関知することなく、単に、入力されたデータに対して、iが1からNまでの総和及び2乗和を計算するという処理を、画一的に行う。よって、各クラウドにおいて行われる計算処理の内容から、統計処理結果提供サーバ50で行われる統計処理の内容や、各クラウドに保存されているデータの意味等を推測されることがなく、安全性をより高めることが可能である。
シェアによる秘匿分割を行い、xi=x1i+x2i+…+xmiを満たすようにxiを分割する。そして、まず、m個の部分データxji(j=1,2,…,m)を生成する。
)+…+fS(Xm)+fΣ(X’1)+fΣ(X’2)+…+fΣ(X’m)」の値は、(
x1i+x2i+…+xmi)2のiを1からNまで合計した値と等しくなるから、オリジナル
データxi 2の総和(即ちxiの2乗和)を求めたことになる。
ことができ、各クラウドから出力される結果のうち、j=1〜mのクラウドからのfΣ(Xi)が総和に利用され、j=1〜mのクラウドからのfS(Xi)とj=m+1〜2mの
クラウドからのfΣ(X’i)とが2乗和に利用されることになる。
求めることができ、標準偏差sは、標本分散s2の正の平方根として求めることができる
。
m−1.96×s/N1/2≦μ≦m+1.96×s/N1/2
と推定することができる。以上により、母集団の平均を推定することが可能になる。
が、r=fΣ(X)により求められると、母比率Rの95%信頼区間を、
r−1.96×(r(1−r)/N)1/2≦R≦r+1.96×(r(1−r)/N)1/2
と推定することができる。これは、YES/NOや選択式(又は機械のon/off)の統計データに応用することができる。
(N−1)×s2/k2≦σ2≦(N−1)×s2/k1
となることが推定することができる。これにより、母集団のばらつきを推定することが可能になる。
に従うことを応用して、行うことができる。但し、
Z1=1/NA+1/NB
Z2=((NA−1)×sA 2+(NB−1)×sB 2)/(NA+NB−2)
である。これにより、母集団の平均を検定することが可能になる。
討するために行うことができ、全体平均m=ΣiΣjxij/N(但し、N=ΣiNi)、グル
ープ平均mi=Σjxij/Ni、グループ間変動Q1=Σi(mi−m)2、グループ内変動Q2=ΣiΣj(xij−mi)2 であるとき、F=Q1/Q2は自由度(k−1),k×(N−1
)のF分布に従うことを応用して、行うことができる。これは、例えば、施策、投薬、改修、改善、キャンペーン、広告等の取り組みの効果を確認する際に有効である。
ナルデータの内積を求めることも、勿論可能である。
iは、取得したオリジナルデータxiに対してランダムシェアによる秘匿分割を行い、xiはxi=x1i+x2iを満たすように分割される。第2の要素に属するオリジナルデータyiを取得する各々のデータ入力デバイス20−iは、取得したオリジナルデータyiに対し
てランダムシェアによる秘匿分割を行い、yiはyi=y1i+y2iを満たすように分割される。
ラウドサービス設備30−2は、N対の部分データx1iとy2iの内積を計算した結果fP
(X1,Y2)を統計処理結果提供サーバ50へ送信し、第3のクラウドサービス設備30
−3は、N対の部分データx2iとy1iの内積を計算した結果fP(X2,Y1)を統計処理
結果提供サーバ50へ送信し、第4のクラウドサービス設備30−4は、N対の部分データx2iとy2iの内積を計算した結果fP(X2,Y2)を統計処理結果提供サーバ50へ送
信する。
CovXY=1/N×Σ(xi−mX)(yi−mY)
であり、mX=fΣ(X)/N,mY=fΣ(Y)/Nであるから、
CovXY=(fP(X,Y)−fΣ(X)fΣ(Y))/N
として求められる。
CCXY=CovXY/sXsY
として求められる。ここで、sX=[(fS(X)−{fΣ(X)}2)/N]1/2,sY=
[(fS(Y)−{fΣ(Y)}2)/N]1/2である。
のでもよいし、人間がオリジナルデータを入力するのでもよいし、別のデータベース等からオリジナルデータを抽出するのでもよい。
録された複数のクラウドの一部から通知を受けた状態になったデータIDについて、その状態を記憶する[9]。これにより、マネージャは、部分データ自体を受信することなく、どのデータの部分データがどのクラウドに保存されたかを管理することが可能になる。
まうためである。
Symposium of Theory of Computing, pp.654-663 (1997)、I.Stoica et al. "Chord: A scalable peer-to-peer lookup service for internet applications," ACM SIGCOMM Computer Communication Review 31(4), p.149 (2001)等を参照)の仕組みを利用して、データの保存先となるクラウドサービス設備を決定することができる。
り当てておくことにより、算出されたハッシュ値がそのrangeに含まれるクラウドサービ
ス設備を、データのアップロード先として特定することができる。この仕組みにより、制御部150が、部分データ毎に算出されたハッシュ値に従って、アップロード部130における各部分データのアップロード先を指定することで、各データ入力デバイスは、統計処理結果提供サーバ(マネージャ)に対して、アップロード先となるクラウドを問い合わせる必要がなくなる。
の管理部(管理サーバ)505からの指示に従って、計算部320が所定の演算処理を行うタイミングを特定する。その演算処理の対象としてデータ保存部310から読み出すべきデータは、制御部335自身が特定する。
どれか)は把握しており、統計処理を行う際には、利用され得る全てのクラウドに対して総和および2乗和の計算を依頼するが、各クラウドにおける計算がどのデータ入力デバイスからのデータを対象として行われたものかは把握できないため、マネージャに対しても、データのセキュリティを担保することが可能となる。
ータAiを、2つの部分データai及びbiに秘匿分割して、複数(本例では4つだが、多
数とすることが可能)のクラウドから任意に選択した2つのクラウドにアップロードし、統計処理を行うための処理手順の一例を示している。
ロードしてもよい。
れぞれのタイミングで、[2]のn=1で生成したハッシュ値h1に相当するクラウドに
対して、[3]の部分データai(及び必要に応じて時刻)を送信する。図18の例では
、データ入力デバイスX1はクラウドBに対して、データ入力デバイスX2はクラウドAに対して、データ入力デバイスX3はクラウドAに対して、部分データaiを送信している。
われる場合、部分データaiは、対応するハッシュ値h1と共に送信される。そうすると、各クラウドは、ハッシュ値h1をキーとし、部分データai(及び必要に応じて時刻)をバリューとして、データ保存部310への保存を行い、データ入力デバイスXiへ受領確認
通知を行う[4]。
成したハッシュ値h2に相当するクラウドに対して、[3]の部分データbi(及び必要に応じて時刻)を送信する。図18の例では、データ入力デバイスX1はクラウドCに対し
て、データ入力デバイスX2はクラウドCに対して、データ入力デバイスX3はクラウドDに対して、部分データbiを送信している。
返される[5]。
の値を合計等して、求める統計値を算出する[8]。
Xi)即ち総和を選択し、第2のリングに属するクラウドからの結果についてはfΣ(X
’i)即ち2乗和を選択して、これらを合計する処理を行う。これにより、オリジナルデ
ータxiの2乗和を求めることができる。また、第1のリングに属するクラウドからの結
果のうちのfs(Xi)を選択して、これらを合計する処理を行えば、オリジナルデータxiの総和が求められる。
上記のマーカーが、3相コミットメントの調整者に対応し、各データ入力デバイスが、3相コミットメントの参加者に対応するが、その際、各データ入力デバイスは、一意なキーにUUID等を利用するため、毎回アドレスが変わることで自らを隠蔽することになる。
部160及びハッシュ計算部170と、アップロード部190とを備え、アップロード部190は、秘匿分割により得られた部分データを各クラウドサービス設備37へアップロードする機能に加えて、マーカーを設定する情報(以下、「マーカー情報」という)をいずれかのクラウドサービス設備37へアップロードする機能を有する。
ータAiを、2つの部分データai及びbiに秘匿分割して、複数(本例では4つだが、多数とすることが可能)のクラウドから任意に選択した2つのクラウドにアップロードし、マーカーmiを用いて整合性を担保しながら、統計処理を行うための処理手順の一例を示
している。
ス番号n(0、1、2)とを足し、それぞれの合計値のハッシュ値(h0、h1、h2)を
算出する。そして、算出されたハッシュ値(h0、h1、h2)が、割り当てられた値群の
中に含まれるクラウドを、それぞれ対応するマーカー及び部分データ(mi、ai、bi)
のアップロード先として決定する[2]。
ビス設備37へアップロードする[6]手順を示す。
れない。
れぞれのタイミングで、[2]のn=1で生成したハッシュ値h1に相当するクラウドに
対して、[3]の部分データai及びハッシュ値h0(及び必要に応じて時刻)を送信する。図22の例では、データ入力デバイスX1はクラウドBに対して、データ入力デバイス
X2はクラウドAに対して、データ入力デバイスX3はクラウドAに対して、部分データai及びハッシュ値h0を送信している。
成したハッシュ値h2に相当するクラウドに対して、[3]の部分データbi及びハッシュ値h0(及び必要に応じて時刻)を送信する。図22の例では、データ入力デバイスX1はクラウドCに対して、データ入力デバイスX2はクラウドCに対して、データ入力デバイ
スX3はクラウドDに対して、部分データbi及びハッシュ値h0を送信している。
ウドにおいて、ハッシュ値h2をキーとし、部分データbi及びハッシュ値h0(及び必要
に応じて時刻)をバリューとして、データ保存部317への保存が行われる。そして、データ入力デバイスXiへ受領確認通知が返される[5]。
クラウド上での保存に成功する)と、[2]のn=0で生成したハッシュ値h0に相当す
るクラウドに対して、マーカー(mi)を設定する値(例えば、1)を送信する。図22
の例では、データ入力デバイスX1はクラウドAに対して、データ入力デバイスX2はクラウドBに対して、データ入力デバイスX3はクラウドDに対して、マーカー(mi)を設定する値を送信している。
れる場合、マーカーを設定する値(例えば、1)は、対応するハッシュ値h0と共に送信
される。そうすると、各クラウドは、ハッシュ値h0をキーとし、値1をバリューとして
、マーカー保存部350への保存を行い、データ入力デバイスXiへ受領確認通知を行う
[6]。
、そのハッシュ値h0に相当するクラウドに対して、マーカーが設定されているか、すな
わち、ハッシュ値h0をキーとしてマーカーを設定する値(1)がマーカー保存部350
に保存されているかの確認を行う[8]。
て行い、クラウドCは、自身が保存している部分データb1、b2についてのマーカー問い合わせ[8]を、それぞれクラウドA、Bに対して行い、クラウドDは、自身が保存している部分データb3についてのマーカー問い合わせ[8]を自身の内部で行っている。
の組を自身が保存していればそのバリュー(1)を、マーカー(mi)の値として、問い
合わせ元のクラウドへ返送する。保存していなければ、エラーを示す値(1以外の値)を、マーカーの値として返送する。
、そのハッシュ値h0と一緒に保存されていた部分データを対象として計算処理を行い、
その結果の値をマネージャへ返送する[9]。マーカーの値が1以外である部分データは、計算対象に含めないことにより、一つのデータを構成する全ての部分データがクラウド上に揃っているデータのみに基づいて、正確な統計処理を行うことが可能である。
刻が現在時刻から所定時間(例えば10分)以上前であれば、トランザクションが正常に完了されなかったとみなして、一緒に保存されていた部分データを削除してもよい。所定時間以内であれば、まだトランザクションの途中である可能性があるとみなして、その部分データを計算対象には含めずに、そのまま残せばよい。
合に、マーカーを登録するクラウドとして、第1のリングに属するクラウドを選択しても、第2のリングに属するクラウドを選択しても、いずれのリングにも属さないクラウドを選択しても構わない。
Claims (16)
- それぞれが秘匿すべきオリジナルデータを取得する手段を備える複数のデータ入力装置と、
それぞれが複数の入力データに基づいて所定の演算を行う手段を備える複数の演算装置と、
前記複数の演算装置のそれぞれが前記オリジナルデータの部分データを前記入力データとして演算を行った結果を利用することにより、前記複数のデータ入力装置により取得された複数のオリジナルデータに基づく統計処理の結果を、該オリジナルデータを取得することなく求める手段を備えるデータ処理装置とを備え、
前記データ入力装置は、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信する手段とを備え、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とするデータ秘匿型統計処理システム。 - 前記部分データのそれぞれが、各々異なる前記演算装置へ送信されることを特徴とする請求項1に記載のデータ秘匿型統計処理システム。
- 前記演算装置は、
複数の前記データ入力装置から受信した複数の前記部分データに基づいて所定の演算を行って得た演算結果を、前記データ処理装置へ送信する手段を備え、
前記データ処理装置は、
複数の前記演算装置から受信した複数の前記演算結果に基づいて所定の統計処理を行う手段を備えることを特徴とする請求項1又は2に記載のデータ秘匿型統計処理システム。 - 前記演算装置が行う所定の演算は、複数の前記部分データの総和の演算を含み、
前記データ処理装置が行う所定の統計処理は、複数の前記演算結果の総和を計算する処理を含むことを特徴とする請求項3に記載のデータ秘匿型統計処理システム。 - 前記データ処理装置は、
前記複数のデータ入力装置のそれぞれへ、前記部分データを前記複数の演算装置のうちいずれへ送信すべきかを指示する手段と、
前記複数の演算装置のそれぞれへ、前記複数のデータ入力装置から受信した複数の前記部分データのうちいずれを対象として所定の演算を行うべきかを指示する手段とを備えることを特徴とする請求項1〜4のいずれか1項に記載のデータ秘匿型統計処理システム。 - 前記複数のデータ入力装置のそれぞれは、
前記部分データを前記複数の演算装置のうちいずれへ送信すべきかを決定する手段を備え、
前記複数の演算装置のそれぞれは、
前記複数のデータ入力装置から受信した複数の前記部分データのうちいずれを対象として所定の演算を行うべきかを決定する手段を備えることを特徴とする請求項1〜4のいずれか1項に記載のデータ秘匿型統計処理システム。 - 前記複数の演算装置の数は、一つのオリジナルデータから得られる部分データの個数と同じかそれよりも大きいことを特徴とする請求項1〜6のいずれか1項に記載のデータ秘匿型統計処理システム。
- 前記複数の演算装置は、それぞれ異なる事業者により提供されるサービスに属するものであり、
前記データ処理装置は、前記複数の演算装置とは異なる事業者により運営されるものであることを特徴とする請求項1〜7のいずれか1項に記載のデータ秘匿型統計処理システム。 - それぞれが秘匿すべきオリジナルデータを取得する手段を備える複数のデータ入力装置と、
それぞれが複数の入力データに基づいて所定の演算を行う手段を備える複数の演算装置と、
前記複数の演算装置のそれぞれが前記オリジナルデータの部分データを前記入力データとして演算を行った結果を利用することにより、前記複数のデータ入力装置により取得された複数のオリジナルデータに基づく統計処理の結果を、該オリジナルデータを取得することなく求める手段を備えるデータ処理装置とを備え、
前記データ入力装置は、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信する手段とを備え、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算を行って生成される部分データとを含み、
前記演算装置は、
複数の前記データ入力装置から受信した複数の前記部分データに基づいて所定の演算を行って得た演算結果を、前記データ処理装置へ送信する手段を備え、
前記データ処理装置は、
複数の前記演算装置から受信した複数の前記演算結果に基づいて所定の統計処理を行う手段を備え、
前記データ入力装置は、前記オリジナルデータを分割した各々の部分の値からM個の部分データを生成し、互いに異なる2つの部分同士を乗算した値に基づいて1〜M個の部分データを生成し、(M+1)〜(2M)個の部分データをそれぞれ対応する演算装置へ送信するものであり、
前記演算装置が行う所定の演算は、複数の前記部分データの総和及び2乗和の少なくとも一方の演算を含み、
前記データ処理装置が行う所定の統計処理は、複数の前記演算結果のうち、前記各々の部分の値に対応する部分データの2乗和及び前記部分同士を乗算した値に対応する部分データの総和について、総和を計算する処理を含むことを特徴とするデータ秘匿型統計処理システム。 - それぞれが秘匿すべきオリジナルデータを取得する手段を備える複数のデータ入力装置と、
それぞれが複数の入力データに基づいて所定の演算を行う手段を備える複数の演算装置と、
前記複数の演算装置のそれぞれが前記オリジナルデータの部分データを前記入力データとして演算を行った結果を利用することにより、前記複数のデータ入力装置により取得された複数のオリジナルデータに基づく統計処理の結果を、該オリジナルデータを取得することなく求める手段を備えるデータ処理装置とを備え、
前記データ入力装置は、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信する手段とを備え、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算を行って生成される部分データとを含み、
前記演算装置は、
複数の前記データ入力装置から受信した複数の前記部分データに基づいて所定の演算を行って得た演算結果を、前記データ処理装置へ送信する手段を備え、
前記データ処理装置は、
複数の前記演算装置から受信した複数の前記演算結果に基づいて所定の統計処理を行う手段を備え、
前記データ入力装置は、前記オリジナルデータを分割した各々の部分を2乗した値からM個の部分データを生成し、互いに異なる2つの部分同士を乗算した値に基づいて1〜M個の部分データを生成し、(M+1)〜(2M)個の部分データをそれぞれ対応する演算装置へ送信するものであり、
前記演算装置が行う所定の演算は、複数の前記部分データの総和の演算を含み、
前記データ処理装置が行う所定の統計処理は、複数の前記演算結果の総和を計算する処理を含むことを特徴とするデータ秘匿型統計処理システム。 - それぞれが秘匿すべきオリジナルデータを取得する手段を備える複数のデータ入力装置と、
それぞれが複数の入力データに基づいて所定の演算を行う手段を備える複数の演算装置と、
前記複数の演算装置のそれぞれが前記オリジナルデータの部分データを前記入力データとして演算を行った結果を利用することにより、前記複数のデータ入力装置により取得された複数のオリジナルデータに基づく統計処理の結果を、該オリジナルデータを取得することなく求める手段を備えるデータ処理装置とを備え、
前記データ入力装置は、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信する手段とを備え、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算を行って生成される部分データとを含み、
前記演算装置は、
複数の前記データ入力装置から受信した複数の前記部分データに基づいて所定の演算を行って得た演算結果を、前記データ処理装置へ送信する手段を備え、
前記データ処理装置は、
複数の前記演算装置から受信した複数の前記演算結果に基づいて所定の統計処理を行う手段を備え、
前記複数のデータ入力装置は、同数ずつの互いに対応する第1のデータ入力装置と第2のデータ入力装置とを含み、
前記第1のデータ入力装置及び前記第2のデータ入力装置は、前記オリジナルデータを分割した各々の部分の値からM個の部分データを生成し、M個の部分データのそれぞれを、(M 2 )個の前記演算装置のうち対応するM個の演算装置へ送信するものであり、
前記演算装置が行う所定の演算は、前記第1のデータ入力装置からの部分データ列と前記第2のデータ入力装置からの部分データ列との内積を求める演算を含み、
前記データ処理装置が行う所定の統計処理は、前記(M 2 )個の演算装置から受信した演算結果の総和を計算する処理を含むことを特徴とするデータ秘匿型統計処理システム。 - 秘匿されるべきオリジナルデータを取得することなく、複数の前記オリジナルデータに基づく統計処理の結果を提供するサービスのためのサーバ装置であって、
それぞれが複数の入力データに基づいて所定の演算を行う手段を有する複数の演算装置と通信する手段と、
前記複数の演算装置のそれぞれに、前記オリジナルデータの部分データを前記入力データとして演算を行わせ、該演算の結果を取得する手段と、
前記複数の演算装置からの演算結果に基づいて、所定の統計処理を行う手段とを備え、
前記部分データは、前記オリジナルデータを取得したデータ入力装置が、全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成し、それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信したものであり、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とする統計処理結果提供サーバ装置。 - 秘匿すべきオリジナルデータを取得する手段と、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
それぞれが複数の入力データに基づいて所定の演算を行う手段を有する複数の演算装置のうちの対応する演算装置への前記複数の入力データの1つとして、それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように送信する手段とを備えるデータ入力装置であって、
前記複数の演算装置のそれぞれが、複数の前記データ入力装置からの部分データに基づいて前記所定の演算を行った結果を、前記複数の演算装置とは異なるサーバ装置が利用することにより、複数の前記データ入力装置により取得された複数の前記オリジナルデータに基づく統計処理の結果が、該オリジナルデータが秘匿されたまま求められ、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とするデータ入力装置。 - 他のコンピュータと通信する機能を有するコンピュータを、データ秘匿型統計処理システムにおけるデータ処理装置として動作させるためのプログラムであって、
前記他のコンピュータとして、それぞれが複数の入力データに基づいて所定の演算を行う手段を有する複数の演算装置があり、
前記データ処理装置は、秘匿されるべきオリジナルデータを取得することなく、複数の前記オリジナルデータに基づく統計処理の結果を提供するものであって、
前記プログラムは、前記コンピュータに、
前記複数の演算装置のそれぞれに、前記オリジナルデータの部分データを前記入力データとして演算を行わせ、該演算の結果を取得する手段と、
前記複数の演算装置からの演算結果に基づいて、所定の統計処理を行う手段とを備えさせるものであり、
前記部分データは、前記オリジナルデータを取得したデータ入力装置が、全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成し、それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように、前記複数の演算装置のうち対応する演算装置へ送信したものであり、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とするプログラム。 - 秘匿すべきオリジナルデータを取得する機能と他のコンピュータと通信する機能とを有するコンピュータを、データ秘匿型統計処理システムにおけるデータ入力装置として動作させるためのプログラムであって、
前記他のコンピュータとして、それぞれが複数の入力データに基づいて所定の演算を行う手段を有する複数の演算装置があり、
前記プログラムは、前記コンピュータに、
全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割し、M以上の個数の部分データを生成する手段と、
前記複数の演算装置のうちの対応する演算装置への前記複数の入力データの1つとして、それぞれの前記部分データを、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように送信する手段とを備えさせるものであり、
前記複数の演算装置のそれぞれが、複数の前記データ入力装置からの部分データに基づいて前記所定の演算を行った結果を、前記複数の演算装置とは異なるサーバ装置が利用することにより、複数の前記データ入力装置により取得された複数の前記オリジナルデータに基づく統計処理の結果が、該オリジナルデータが秘匿されたまま求められ、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とするプログラム。 - 秘匿すべきオリジナルデータを取得する手段を備える複数のデータ入力装置のそれぞれが、全ての部分を合わせると前記オリジナルデータが復元されるように前記オリジナルデータをM個(Mは2以上の整数)に分割して生成したM以上の個数の部分データを出力し、
複数の入力データに基づいて所定の演算を行う手段を備える複数の演算装置のそれぞれが、(M−1)個の前記部分データを入手しても前記オリジナルデータが復元できないように複数の前記データ入力装置のそれぞれから出力された前記部分データを前記入力データとして、前記演算を行った結果を出力し、
データ処理装置が、前記複数の演算装置のそれぞれから出力された前記演算の結果を利用することにより、前記複数のデータ入力装置により取得された複数のオリジナルデータに基づく統計処理の結果を、該オリジナルデータを取得することなく求め、
前記M以上の個数の部分データは、前記オリジナルデータを分割した各々の部分の値にそれぞれ基づいて生成される部分データと、複数の前記部分の値に基づく演算であって前記複数のオリジナルデータに基づく統計処理の一部を成す演算を行って生成される部分データとを含むことを特徴とする統計処理結果提供サービス方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015079666A JP5895080B2 (ja) | 2013-10-23 | 2015-04-09 | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013220673 | 2013-10-23 | ||
JP2013220673 | 2013-10-23 | ||
JP2015079666A JP5895080B2 (ja) | 2013-10-23 | 2015-04-09 | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014176590A Division JP2015108807A (ja) | 2013-10-23 | 2014-08-29 | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015158935A JP2015158935A (ja) | 2015-09-03 |
JP5895080B2 true JP5895080B2 (ja) | 2016-03-30 |
Family
ID=54182826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015079666A Active JP5895080B2 (ja) | 2013-10-23 | 2015-04-09 | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5895080B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021056435A (ja) * | 2019-10-01 | 2021-04-08 | 株式会社東芝 | 情報処理装置、情報処理方法、およびプログラム |
JP2021089679A (ja) | 2019-12-05 | 2021-06-10 | 株式会社日立製作所 | データ分析システムおよびデータ分析方法 |
JP7464555B2 (ja) | 2021-03-12 | 2024-04-09 | Kddi株式会社 | データ提供装置、集計システム及びデータ提供プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3596595B2 (ja) * | 1999-08-25 | 2004-12-02 | 沖電気工業株式会社 | 個人認証システム |
JP4685317B2 (ja) * | 2002-03-29 | 2011-05-18 | 株式会社富士通ソーシアルサイエンスラボラトリ | データ分散格納方法、データ分散格納装置、プログラム及びバックアップサイト |
JP4292835B2 (ja) * | 2003-03-13 | 2009-07-08 | 沖電気工業株式会社 | 秘密再構成方法、分散秘密再構成装置、及び秘密再構成システム |
JP3943118B2 (ja) * | 2005-04-28 | 2007-07-11 | Sbシステム株式会社 | 電子情報保存方法及び装置、電子情報分割保存方法及び装置、電子情報分割復元処理方法及び装置並びにそれらのプログラム |
JP2006331072A (ja) * | 2005-05-26 | 2006-12-07 | Canon Inc | サーバ装置、データ処理装置、アップロード処理情報およびコンピュータが読み取り可能なプログラムを格納した記憶媒体およびプログラム |
JP2007299088A (ja) * | 2006-04-28 | 2007-11-15 | Fujitsu Ltd | データ保護システム、方法及びプログラム |
JP2008016014A (ja) * | 2006-06-07 | 2008-01-24 | Matsushita Electric Ind Co Ltd | 機密情報保護システム、機密情報復元装置、及び割符生成装置 |
-
2015
- 2015-04-09 JP JP2015079666A patent/JP5895080B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015158935A (ja) | 2015-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2015059918A1 (ja) | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 | |
Yang et al. | Enabling public auditing for shared data in cloud storage supporting identity privacy and traceability | |
Liu et al. | DivORAM: Towards a practical oblivious RAM with variable block size | |
Khaliq et al. | A secure and privacy preserved parking recommender system using elliptic curve cryptography and local differential privacy | |
US11487969B2 (en) | Apparatuses, computer program products, and computer-implemented methods for privacy-preserving federated learning | |
Daniel et al. | LDAP: a lightweight deduplication and auditing protocol for secure data storage in cloud environment | |
Abi Sen et al. | Preserving privacy of smart cities based on the fog computing | |
Patil et al. | Data security over cloud | |
Li et al. | Inspecting edge data integrity with aggregate signature in distributed edge computing environment | |
Yan et al. | Context-aware verifiable cloud computing | |
JP7155437B2 (ja) | 暗号化されたネットワーク値の集約 | |
Dattana et al. | A probability based model for big data security in smart city | |
JP5895080B2 (ja) | データ秘匿型統計処理システム、統計処理結果提供サーバ装置及びデータ入力装置、並びに、これらのためのプログラム及び方法 | |
CN114175028A (zh) | 密码假名映射方法、计算机***、计算机程序和计算机可读介质 | |
JP2023524356A (ja) | 分類の正確さを改善するための機械学習モデリングデータの処理 | |
JP2024073565A (ja) | プライバシーを守る機械学習ラベリング | |
JP2022532950A (ja) | 時間データの取得または操作を防止しながらネットワークデータのシーケンスを生成すること | |
Wang et al. | Blockchain-based public auditing scheme for shared data | |
Rubai | Hybrid heuristic-based key generation protocol for intelligent privacy preservation in cloud sector | |
Li et al. | An accountable decryption system based on privacy-preserving smart contracts | |
JP2014206696A (ja) | データ秘匿型内積計算システム、方法、及びプログラム | |
Ahmed et al. | Augmenting security and accountability within the eHealth Exchange | |
Noman et al. | Hardware-based DLAS: Achieving geo-location guarantees for cloud data using TPM and provable data possession | |
Liu et al. | Blockchain-based integrity auditing for shared data in cloud storage with file prediction | |
CN116028965B (zh) | 分布式lvc试训环境中数据保护方法、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150529 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150529 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20150529 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20150616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150630 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151013 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151211 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160229 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5895080 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |