JP5971115B2 - 情報処理プログラム、情報処理方法及び装置 - Google Patents

情報処理プログラム、情報処理方法及び装置 Download PDF

Info

Publication number
JP5971115B2
JP5971115B2 JP2012283490A JP2012283490A JP5971115B2 JP 5971115 B2 JP5971115 B2 JP 5971115B2 JP 2012283490 A JP2012283490 A JP 2012283490A JP 2012283490 A JP2012283490 A JP 2012283490A JP 5971115 B2 JP5971115 B2 JP 5971115B2
Authority
JP
Japan
Prior art keywords
processing
processing instruction
record
data
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012283490A
Other languages
English (en)
Other versions
JP2014127037A5 (ja
JP2014127037A (ja
Inventor
梅田 直樹
直樹 梅田
慶一 冨山
慶一 冨山
尚哉 金泥
尚哉 金泥
隼人 岡田
隼人 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012283490A priority Critical patent/JP5971115B2/ja
Priority to US14/066,038 priority patent/US20140181988A1/en
Publication of JP2014127037A publication Critical patent/JP2014127037A/ja
Publication of JP2014127037A5 publication Critical patent/JP2014127037A5/ja
Application granted granted Critical
Publication of JP5971115B2 publication Critical patent/JP5971115B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本技術は、データの秘匿化技術に関する。
例えば、収集した個人情報を、個人を特定できないようにするために匿名化情報に加工する技術が存在している。
一般的に個人情報を匿名化情報にデータ加工しても、他の情報と照合して個人を識別できる(「容易照合性」と呼ぶ)場合は個人情報に該当する。しかしながら、「容易照合性」があるか否かの客観的な基準がなく、安全に匿名化情報を利用できるかの判断が難しい。この「容易照合性」には以下に示すような観点がある。
(1)他の情報と容易に照合できる環境にあるか否か。
(2)他の情報と照合した結果、個人を識別できるか否か。
(1)については、データ管理(参照権限、参照範囲、情報漏洩対策)も含めた対策を行って容易照合性が否定されることになるので、ソフトウェアだけで判断はできない。一方、(2)は個人識別可能性とも呼ばれるが、識別リスクのあるレコードを削るといった加工を行うことで、より安全な匿名化情報を生成できる。これにより、他の情報と容易に照合できる場合や、個人を識別する情報が他で漏洩した場合においても、個人を特定することができないため、安全に匿名化情報を利用させることができる。
例えば、個人情報と照合することで個人の特定につながる情報を判断して除き、匿名化情報に加工する技術がある。
また、匿名化情報自身におけるレコードの重複から個人識別可能性を検証してデータ加工する技術も存在している。これは、匿名化情報におけるレコードの重複数がN件以上であれば、個人情報と照合した結果がN件以上となるため匿名化情報から個人は識別できないという法則を利用している。
具体的には、図1に示すような処理が実施される。図1の左側に示す匿名化情報は3レコードを含んでおり、上の2行は同一であって2件以上の場合には個人識別可能性がないことが確認されるため[検証OK]として検証済の匿名化情報に加えられる。一方、ABCDというレコードについては1行しかないので、個人識別可能性があり[検証NG]と判定される。そうすると、例えばABCDの一部の属性値B及びCをXに変換してしまい、AXXDというレコードを検証済みの匿名化情報に加える。一方、ABCDというレコード自体については破棄してしまう。このような処理方法は、1つのデータベースにおいて既に蓄積済みのレコードを処理する場合には有効である。
しかしながら、様々な業務システムから適宜収集されるデータを匿名化して、匿名化したデータを活用する他のシステムに出力するような場合には問題がある。具体的には、図1の左側に示すような3レコードがまず収集されて、この3レコードについて上で述べたような処理を実施すると、図1の右側に示すようなデータが他のシステムに出力される。その後、図2の左側に示すような3レコードが新たに収集されて上で述べたような処理を新たな3レコードに実施すると、上2行は同一であって個人識別可能性がないということが確認され検証OKとして検証済みの匿名化情報に加えられる。しかしながら、ABCDというレコードについては1行しかないので、個人識別可能性があり[検証NG]と判定される。そうすると、一部の属性値B及びCをXに変換してしまい、AXXDというレコードを検証済みの匿名化情報に加えることになる。そして、ABCDというレコード自体については破棄してしまう。このように、ABCDというレコードは2度出現しているが、収集タイミングが異なっているので、検証済みの匿名化情報には「AXXD」というレコードが2度登録されてしまう。これでは、ABCDという情報は失われてしまい、他のシステムにおける統計処理などに支障を来すようになる。
また、個人が特定された一部の匿名化情報が漏洩した場合に、当該匿名化情報を用いて匿名化情報の経時差分から個人識別を行う手法も存在しており、検証済みの匿名化情報であっても、そのまま出力すると問題が発生する場合がある。
特開2009−181207号公報
本技術の目的は、一側面によれば、個人識別可能性を抑制した匿名化処理技術を提供することである。
本技術に係る情報処理方法は、複数のデータブロックを有する第1のデータブロック群に対する処理命令群であって、当該処理命令群を適用後の第1のデータブロック群が匿名化される処理命令群を順次受信し、第1のデータブロック群に未適用の第1の処理命令群が所定の条件を満たす場合は、当該第1の処理命令群を第1のデータブロック群に適用し、第1の処理命令群が所定の条件を満たさない場合は、当該第1の処理命令群を保持する処理を含む。
一側面によれば、匿名化を行う際に個人識別可能性を抑制することができる。
図1は、従来技術を説明するための図である。 図2は、従来技術を説明するための図である。 図3は、第1の実施の形態に係る基本的な匿名化処理を説明するための図である。 図4は、第1の実施の形態に係る基本的な匿名化処理を説明するための図である。 図5は、第1の実施の形態に係る基本的な匿名化処理を説明するための図である。 図6は、第1の実施の形態に係る基本的な匿名化処理を説明するための図である。 図7は、経時差分を用いたデータ解析による個人識別可能性について説明するための図である。 図8は、経時差分を用いたデータ解析による個人識別可能性について説明するための図である。 図9Aは、経時差分を用いたデータ解析による個人識別可能性について説明するための図である。 図9Bは、経時差分を用いたデータ解析による個人識別可能性について説明するための図である。 図9Cは、経時差分を用いたデータ解析による個人識別可能性について説明するための図である。 図10は、実施の形態に係るシステム構成例を示す図である。 図11は、情報処理装置の機能ブロック図である。 図12は、第1の実施の形態に係る処理命令制御部及びデータ格納部の構成例を示す図である。 図13は、実施の形態に係るメインの処理フローを示す図である。 図14は、収集されたデータの一例を示す図である。 図15は、定義データ格納部に格納されているデータの一例を示す図である。 図16は、データ変換の結果の一例を示す図である。 図17は、処理命令制御部に出力される処理命令の一例を示す図である。 図18は、匿名化処理部において保持されるレコードの一例を示す図である。 図19は、匿名化処理部の処理を説明するための図である。 図20は、匿名化処理部から処理命令制御部に出力されるデータの一例を示す図である。 図21は、第1の実施の形態に係る命令制御処理の処理フローを示す図である。 図22は、レコード管理テーブルに格納されるデータの一例を示す図である。 図23は、ターゲットシステムに蓄積されるデータの一例を示す図である。 図24は、匿名化処理部から処理命令制御部に次に出力されるデータの一例を示す図である。 図25は、レコード管理テーブルに次に格納されるデータの一例を示す図である。 図26は、匿名化処理部から処理命令制御部にさらに次に出力されるデータの一例を示す図である。 図27は、レコード管理テーブルに格納されるデータの次の状態を示す図である。 図28は、ターゲットシステムにおいて保持されるデータの一例を示す図である。 図29は、第2の実施の形態に係る処理命令制御部及びデータ格納部の構成例を示す図である。 図30は、第2の実施の形態に係る命令制御処理の処理フローを示す図である。 図31は、第3の実施の形態に係る処理命令制御部及びデータ格納部の構成例を示す図である。 図32は、第3の実施の形態に係る命令制御処理の処理フローを示す図である。 図33は、コンピュータの機能ブロック図である。
[実施の形態1]
図3乃至図28を用いて第1の実施の形態における処理の概要を説明する。本実施の形態において処理を実施する情報処理装置は、1又は複数の業務システム(ソースシステムとも呼ぶ。)からデータを収集して匿名化し、以下で述べる処理を実施した上で、匿名化情報を活用する他のシステム(ターゲットシステムとも呼ぶ。)に配布可能な状態にする。
まず最初に、基本的な匿名化処理についての説明を行った上で、個人識別可能性の問題を説明し、さらに当該個人識別可能性の問題を解消する手法について説明する。
(a)基本的な匿名化処理
例えば、情報処理装置は、3件のレコードを収集した場合には、収集したレコードを匿名化し、図3の例に示すように、匿名化データ80を生成する。ここで、匿名化データ80は、匿名化のためのデータ変換処理が実行されたデータであり、属性値が対応する値域に変換されたり、仮名文字化されたり、レコードの一部の属性が破棄されたりしたデータである。図3の例では、匿名化データ80は、ABCDという属性値を含む2件のレコードと、EFGHという属性値を含む1件のレコードとを有する。
そして、情報処理装置は、匿名化データ80のレコードの重複数を計数する。続いて、情報処理装置は、計数した結果を、情報処理装置内に設けられた、レコードの重複数のカウンタである重複数テーブル(Table:TBL)8dに登録する。以下の説明では、「テーブル」、「Table」を、「TBL」と略記する場合がある。図3の例に示すように、情報処理装置は、ABCDという属性値を含むレコードの重複数「2」を、重複数TBL8dに登録する。また、情報処理装置は、EFGHという属性値を含むレコードの重複数「1」を、重複数TBL8dに登録する。
続いて、情報処理装置は、匿名化データ80の各レコードについて、個人が識別される可能性が高いレコードであるか否か検証する。例えば、情報処理装置は、図3の例に示すように、重複数TBL8dを参照し、各レコードについて、重複数がN(Nは正の整数)以上であるか否かを判定する。以下、Nの値が「2」である場合について説明する。情報処理装置は、重複数がN以上となるABCDという属性値を含む2件のレコードについては、「OK」、すなわち、個人が識別される可能性が低いと判定し、2回目の匿名化を行わずに、ターゲットシステムに追加レコードとして配布する。
一方、情報処理装置は、重複数がN未満となるEFGHという属性値を含む1件のレコードについては、「NG」、すなわち、個人が識別される可能性が高いと判定し、2回目の匿名化を行った上で、ターゲットシステムに追加レコードとして配布する。この結果、図3の例に示すように、検証済みの匿名化データ82が配布される。なお、図3の例に示すように、検証済みの匿名化データ82には、2回目の匿名化が行われた結果、EFGHという属性値からFGという属性値が破棄(隠蔽とも呼ぶ)されたレコード82aが含まれている。
そして、情報処理装置は、新たに、ソースシステムから2件のレコードを収集した場合には、収集したレコードを匿名化し、図4の例に示すように、匿名化データ83を生成する。図4の例では、匿名化データ83は、EFGHという属性値を含む1件のレコードと、IJKLという属性値を含む1件のレコードとを有する。
そして、情報処理装置は、匿名化データ83のレコードについて重複数を計数する。続いて、情報処理装置は、計数した結果を、重複数TBL8dに反映する。すなわち、図4の例に示すように、情報処理装置は、重複数TBL8dのEFGHという属性値を含むレコードの重複数を「1」から「2」に更新し、IJKLという属性値を含むレコードの重複数として「1」を登録する。
続いて、情報処理装置は、匿名化データ83の各レコードについて、個人が識別される可能性が高いレコードであるか否か検証する。例えば、情報処理装置は、図4の例に示すように、重複数TBL8dを参照し、各レコードについて、重複数がN以上であるか否かを判定する。情報処理装置は、重複数がN以上となるEFGHという属性値を含むレコードについては、「OK」と判定し、2回目の匿名化を行わずに、ターゲットシステムに追加レコードとして配布する。また、EXXH(XXは隠蔽された属性値を総称する)という属性値を含むレコード82aについては、個人が識別される可能性が低くなったため、情報処理装置は、レコード82aの2回目の匿名化を解除(復元とも呼ぶ)させるように、ターゲットシステムに復元命令を出力する。これにより、図4に示すように、ターゲットシステムでは、隠蔽されたFGという属性値をレコード82aに登録する。
情報処理装置は、上で述べたような処理を行うことで、収集したデータ群に含まれるデータのうち、「データの一致」というデータ間の所定の条件を満たさないと判定されるデータの量を抑制することができる。この結果、より多くのレコードが、ターゲットシステムにおいて統計処理などの所定の処理を行う際に有効に用いられるようになる。また、一部隠蔽される場合もあるが、新たなレコード群を取得すると、直ぐにターゲットシステムにレコードが追加されるので、即時性にも優れている。
一方、情報処理装置は、重複数がN未満となるIJKLというレコードについては、「NG」、すなわち、個人が識別される可能性が高いと判定し、2回目の匿名化(隠蔽)を行った上で、ターゲットシステムに追加レコードとして配布する。この結果、図4の例に示すような検証済みの匿名化データ82が蓄積される。なお、図4の例に示すように、検証済みの匿名化データ82には、2回目の匿名化が行われた結果、IJKLという属性値からJKという属性値が隠蔽されたレコード82bが含まれている。
ここで、ソースシステムは、ユーザからの指示などによって、自身のデータベースに格納されているデータの更新又は削除を行う。例えば、efghという属性値を含むレコードをabcdという属性値を含むレコードに更新する指示をユーザから受け付けた場合、ソースシステムは次の処理を行う。すなわち、ソースシステムは、自身のデータベースに格納されているefghという属性値を含むレコードをabcdという属性値を含むレコードに更新する。なお、この場合における更新前のefghという属性値を含むレコードは、図3の例に示す匿名化データ80のEFGHという属性値を含むレコードに対して匿名化が行われる前のレコードに対応する。また、abcdという属性値を含むレコードは、匿名化が行われるとABCDという属性値を含むレコードとなる。そして、ソースシステムは、efghという属性値を含むレコードをabcdという属性値を含むレコードに更新したことを示す更新データを情報処理装置に送信する。
情報処理装置は、efghという属性値を含むレコードをabcdという属性値を含むレコードに更新したことを示す更新データを受信した場合には、次のような処理を行う。すなわち、情報処理装置は、受信した更新データが示す更新に基づいて、配布されたレコードを更新するようにターゲットシステムに処理命令を出力する。ここで、情報処理装置が受信した更新データは、蓄積されたEFGHという属性値を含むレコードをABCDという属性値を含むレコードに更新することを意味する。
すなわち、情報処理装置が受信した更新データは、EFGHという属性値を含むレコードを1件削除し、ABCDという属性値を含むレコードを1件追加することを意味する。このため、更新データを受信した情報処理装置は、図5の例に示すように、重複数TBL8dのEFGHという属性値を含むレコードの重複数を「2」から「1」に更新し、ABCDという属性値を含むレコードの重複数を「2」から「3」に更新する。
そして、情報処理装置は、図5の例に示すように、重複数TBL8dを参照し、更新前のEFGHという属性値を含むレコードおよび更新後のABCDという属性値を含むレコードについて、重複数がN以上であるか否かを判定する。そして、情報処理装置は、重複数がN以上となるABCDという属性値を含むレコードについては「OK」と判定し、EFGHという属性値を含むレコードをABCDという属性値を含むレコードに更新する処理命令をターゲットシステムに配布する。これにより、図5に示すように、ターゲットシステムは、検証済みの匿名化データ82に含まれるEFGHという属性値を含むレコード82cをABCDという属性値を含むレコードに更新する。
また、情報処理装置は、重複数がN未満となるEFGHという属性値を含む1件のレコードについては、「NG」と判定する。ここで、EFGHという属性値を含む1件のレコードは、今回の更新によって、重複数が「N」から「N−1」となった。すなわち、EFGHという属性値を含むレコード82aは、2回目の匿名化(すなわち隠蔽)が行われていないレコードであり、今回の更新によって、個人が識別される可能性が高くなった。そのため、重複数がN未満となるEFGHという属性値を含む1件のレコードに対して2回目の匿名化を行うことになる。そして、情報処理装置は、EFGHという属性値を含むレコードを、EFGHという属性値からFGの属性値を隠蔽する処理命令をターゲットシステムに送信する。これにより、図5に示すように、ターゲットシステムは、レコード82aをEFGHという属性値からFGの属性値が隠蔽された2回目の匿名化後のレコードに更新する。
このように、情報処理装置は、更新に係る情報である更新データを受信した場合に、更新前後のレコードについて重複数がN以上であるか否かを判定し、判定結果に応じて、隠蔽、復元、追加といった処理を行う。このように、情報処理装置によれば、更新データを受信するだけで、ターゲットシステムに蓄積されたデータを更新させることができる。
また、情報処理装置は、efghという属性値を含むレコードを削除したことを表す更新データを受信した場合には、次のような処理を行う。すなわち、情報処理装置は、受信した更新データが示す更新に基づいて、配布されたレコードを更新するようにターゲットシステムに処理命令を出力する。
よって、情報処理装置が受信した更新データは、EFGHという属性値を含むレコードを1件削除することを意味する。このため、更新データを受信した情報処理装置は、図6の例に示すように、重複数TBL8dのEFGHという属性値を含むレコードの重複数を「1」から「0」に更新する。
そして、情報処理装置は、図6の例に示すように、重複数TBL8dを参照し、削除前のEFGHという属性値を含むレコードについて、重複数がN−1になったのかを判定する。この場合、既に重複数はN未満となっているので、この条件は満たしていない。従って、情報処理装置は、EXXHという属性値を含むレコードを削除する処理命令を、ターゲットシステムに出力する。これにより、図6において点線で示すように、ターゲットシステムは、レコード82aを削除する。
一方、レコードの削除の指示を受信した場合に削除されるレコードについて削除により重複数がN−1になった場合には、情報処理装置は、同一属性値を有するレコードについて隠蔽を行う処理命令をターゲットシステムに出力する。これによって、匿名化のレベルを維持することができるようになる。なお、削除されるレコードについて削除しても重複数がN以上であれば、情報処理装置は、単に指示されたレコードを削除する処理命令をターゲットシステムに出力する。ターゲットシステムは、情報処理装置からの処理命令に従って、保持するレコードを更新する。
(b)個人識別可能性
例えば、図3に示した匿名化データ82が生成された状態において、図7に示すように個人が特定された匿名化データが漏洩してしまうと、図4に示した匿名化データ82との経時差分から、個人が特定されてしまう場合がある。具体的には、図8に示すハッチング部分が経時差分であるが、下2レコードは新たに追加されたレコードであるから、図3に示した匿名化データ82において属性値が一部隠蔽されていたとしても、3番目のレコードは、名前「は」のレコードであることが分かってしまう。ここでは、センシティブ情報については図示を省略しているが、レコードにはセンシティブ情報も含まれているため、全体として個人が特定されたセンシティブ情報が外部に漏れてしまう。
また、他の例として、図9Aに示すような匿名化データが生成された後、5番目のレコードが削除された場合には、図9Bに示すような匿名化データが生成される。なお、右側2列は、センシティブ情報を表し、他の部分は匿名化された個人情報を表している。また、図9Aにおける3番目のレコードについては、N−1(すなわち1)レコードとなってしまったので、図9Bの匿名化データにおいてはFGが隠蔽される。ここで、図9Aと図9Bとで経時差分をとると、図9Cのようになる。図9Cにおいてハッチング部分が、経時差分である。一方、図9Bの匿名化データが生成された時点において、図7に示すように個人が特定された匿名化データが漏洩してしまうと、隠蔽が行われた3番目のレコードが名前「は」のレコードであることが分かってしまう。より具体的には、図9Bの匿名化データが生成された時点において図7のような漏洩データが入手できた場合には、図9Cの5番目のレコードは、図9Bの匿名化データには含まれていないので、隠蔽が行われた3番目のレコードのみが名前「は」のレコードに対応してしまう。
(c)本実施の形態における工夫
本実施の形態における基本的な匿名化処理においても、データ漏洩がなければ問題は発生しない。しかし、仮にデータ漏洩が起きてしまった場合に、個人識別可能性に特に影響のある「隠蔽」及び「復元」という処理命令を即時に実行すると、経時差分を用いたデータ解析によって個人識別可能性が出てきてしまうという問題がある。そこで、本実施の形態では、以下に述べるような処理を行うことで、処理命令の実行タイミングを適切に制御することで、個人識別可能性を抑えることができる。特に本実施の形態では、隠蔽又は復元という処理命令が実行された特定のレコードを含むレコード群についての処理命令群については、特定のレコードについて更新や削除といった他の処理命令が来るまで、その処理命令群を実行するタイミングを遅延させるものである。
以下、このような処理を行うためのシステム及び処理内容について説明する。
図10の例に示すシステム1は、ソースシステム2及び3と、情報処理装置100と、ターゲットシステム4及び5とを有する。ソースシステム2及び3の数並びにターゲットシステム4及び5の数は、2に限定されるものではなく、1以上の任意の数でよい。また、ソースシステム2及び3と、情報処理装置100とはネットワーク90を介して接続され、情報処理装置100と、ターゲットシステム4及び5とはネットワーク91を介して接続される。また、情報処理装置100には、管理者などが操作するクライアント装置10が、有線又は無線などの任意の通信網を介して接続されている。
ソースシステム2は、データベース(DB)2aと出力部2bとを有し、DB2aに対してレコードの追加、削除又は更新が発生すると、出力部2bは、ネットワーク90を介して、更新などされたレコードについてのデータを、情報処理装置100に送信する。同様に、ソースシステム3は、DB3a及び出力部3bとを有し、DB3aに対してレコードの追加、削除又は更新が発生すると、出力部3bは、ネットワーク90を介して、更新などされたレコードについてのデータを、情報処理装置100に送信する。
また、ターゲットシステム4は、DB4a及び処理実行部4b有しており、ネットワーク91を介して情報処理装置100から処理命令を受信すると、処理実行部4bは、DB4aに対して処理命令を実行する。また、ターゲットシステム5は、DB5a及び処理実行部5b有しており、ネットワーク91を介して情報処理装置100から処理命令を受信すると、処理実行部5bは、DB5aに対して処理命令を実行する。
クライアント装置10は、管理者などから、重複度の閾値N、その他の設定データを情報処理装置100に対して出力する。
次に、情報処理装置100の機能ブロック図を図11に示す。本実施の形態に係る情報処理装置100は、匿名化処理部110と、処理命令制御部120と、データ格納部130と、定義データ格納部140とを有する。
定義データ格納部140は、クライアント装置10により入力され且つ匿名化処理部110及び処理命令制御部120によって用いられる設定データ等を格納する。
匿名化処理部110は、上で述べた(a)基本的な匿名化処理を実行する。そして、匿名化処理部110は、匿名化処理の処理結果と当該処理結果を反映させる処理内容とを含む処理命令を、処理命令制御部120に出力する。処理命令制御部120は、データ格納部130に処理命令を一時的保管した上で、処理命令の出力タイミングを判断して、適切なタイミングにて処理命令を、ターゲットシステム4及び5に出力する。
図12に、本実施の形態に係る処理命令制御部120及びデータ格納部130の構成例を示す。処理命令制御部120は、データ取得部121と、設定部122と、検証部123と、出力部124とを有する。また、データ格納部130には、処理命令蓄積テーブル131と、レコード管理テーブル132とが格納される。
データ取得部121は、匿名化処理部110から処理命令を受信すると、処理命令蓄積テーブル131に格納すると共に、設定部122に出力する。設定部122は、処理命令を受信すると、レコード管理テーブル132に設定を行って、検証部123に処理を指示する。検証部123は、レコード管理テーブル132に従って処理命令蓄積テーブル131に格納されている処理命令を出力しても良いのか否かを検証する。検証部123は、処理命令蓄積テーブル131に格納されている処理命令を出力できないと判定すれば何もしないが、処理命令を出力できると判定すると、出力部124に対して出力指示を出力する。出力部124は、検証部123からの出力指示に応じて、処理命令蓄積テーブル131に格納されている処理命令を、ターゲットシステム4及び5に出力する。
次に、図13乃至図28を用いて、情報処理装置100の処理内容について説明する。まず、匿名化処理部110は、ソースシステム2又は3からデータを収集するデータ収集処理を実行する(図13:ステップS1)。例えば図14に示すようなデータが収集される。図14の例では、各レコードには、個人識別子(ID)と、氏名と、性別と、年齢と、身長と、体重とが含まれる。なお、番号(No.)は、この後の処理の説明においてレコードを識別しやすくするために、便宜上付加したもので、実際には含まれない。
また、匿名化処理部110は、定義データ格納部140に格納されているデータに従って、所定のデータ変換処理を実行する(ステップS3)。定義データ格納部140に格納されている定義データの一例を図15に示す。図15の例では、匿名化の判定基準である重複数と、各項目について検証の対象か否かを示すデータと、各項目について隠蔽の対象か否かを示すデータとが含まれる。図15の例では、「性別」「年齢」「身長」「体重」が項目として列挙されており、個人情報においてそれ以外の項目のデータについては、匿名化のために破棄されるものとする。具体的には「個人ID」及び「氏名」については破棄される。本実施の形態では、検証の対象として指示されている項目については、曖昧化の一例として、予め定められた値域のいずれに属するかという判定を行って、その値域を特定するためのデータに置換するものとする。そうすると、図14のデータは、図16に示すデータに変換されることになる。なお、センシティブ情報については、図14及び図16についても省略している。
その後、匿名化処理部110は、データ変換処理の処理結果に対してデータ検証処理を実行する(ステップS5)。このデータ検証処理については、データ変換以外であって図3乃至図6を用いて説明した処理を実行する。
図16に示したデータを最初に処理する場合には、レコード番号「1」「2」「5」「6」「7」「9」のレコードについては、重複数「2」以上となるので、これらのレコードについては、そのまま「追加」処理を行うことになる。従って、図17に示すように、レコード管理IDと処理内容「追加」が、それらの各レコードに設定される。処理内容が含まれるので、これらは処理命令として取り扱われる。
さらに、一方、レコード番号「3」「4」「8」「10」のレコードについては、重複数「2」未満なので、これらのレコードについては、後の処理のために図18に示すようにレコード管理IDを付与した上で保持しておく。さらに、レコード番号「3」「4」「8」「10」のレコードについては2回目の匿名化処理、すなわち隠蔽を行うと共に、図18と同じレコード管理IDを付与して、さらに処理内容「追加」を付与する。すなわち、図19に示すような処理命令が得られる。結果として、図20に示すような処理命令群が生成されることになる。図20の例では、図17及び図19の処理命令群に加えて、終了フラグが付与される。終了フラグは、今回処理対象となる処理命令群における最後の処理命令であるか否かを判別できるようにするためのフラグであり、レコード番号「10」のみが「YES」に設定される。
その後、匿名化処理部110は、図20に示すような処理命令群を、処理命令制御部120に出力する。
処理命令制御部120は、匿名化処理部110から受け取った処理命令群に対して命令制御処理を実行する(ステップS7)。命令制御処理については、図21乃至図28を用いて説明する。なお、処理はステップS7を実行すると終了する。
処理命令制御部120のデータ取得部121は、匿名化処理部110から受け取った処理命令群のうち、未処理の1処理命令を、データ格納部130における処理命令蓄積テーブル131に格納する(ステップS11)。具体的には先頭から順番に選択する。また、データ取得部121は、当該処理命令を設定部122に出力する。
設定部122は、当該処理命令からレコード管理ID及び処理内容を抽出し(ステップS13)、データ格納部130におけるレコード管理テーブル132に、抽出されたレコード管理IDと同一のレコード管理IDのレコードが登録されているか判断する(ステップS15)。初めてレコードを追加するような場合には、抽出されたレコード管理IDと同一のレコード管理IDのデータがレコード管理テーブル132に登録されていることはない。
抽出されたレコード管理IDと同一のデータが未登録であれば(ステップS15:Noルート)、設定部122は、抽出された処理内容が「隠蔽」又は「復元」であるか判断する(ステップS17)。これらの操作のみが行われた場合には、経時差分を取った場合に個人識別可能性が高まることが分かっているので、ここで確認している。抽出された処理内容が「隠蔽」又は「復元」である場合には、設定部122は、検証結果「NG」と抽出されたレコード管理IDとをレコード管理テーブル132に格納する(ステップS19)。そして処理はステップS25に移行する。一方、抽出された処理内容が「隠蔽」又は「復元」ではない場合には、設定部122は、検証結果「OK」と抽出されたレコード管理IDとをレコード管理テーブル132に格納する(ステップS21)。そして処理はステップS25に移行する。
例えば、図20に示すような処理命令群については、全てステップS21を経由して処理されて図22に示すようなレコード管理テーブル132が得られるようになる。
一方、レコード管理テーブル132に、抽出されたレコード管理IDと同一のデータが登録されていれば(ステップS15:Yesルート)、「隠蔽」又は「復元」したレコードに対して「更新」又は「削除」する場合、「隠蔽」したレコードを「復元」する場合、「復元」したレコードを「隠蔽」する場合であり、これらは経時差分を取られても問題ない場合である。従って、設定部122は、レコード管理テーブル132において、抽出されたレコード管理IDの検証結果を「OK」に変更する(ステップS23)。そして処理はステップS25に移行する。
そして、設定部122は、取得された処理命令群の最後であるか、すなわち処理に係る処理命令の終了フラグが「YES」を表しているか判断する(ステップS25)。処理命令の終了フラグが「NO」であれば、処理はステップS11に戻る。
一方、処理に係る処理命令の終了フラグが「YES」であれば、設定部122は、検証部123に処理を指示する。検証部123は、データ格納部130におけるレコード管理テーブル132において、検証結果がNGのレコードが存在しているか判断する(ステップS27)。1つでも検証結果がNGのレコードが存在する場合には、経時差分を取った場合に個人識別可能性が高くなるので、ターゲットシステム4及び5に処理命令蓄積テーブル131に格納されている処理命令を出力しない。
一方、1つも検証結果がNGであるレコードが存在しない場合には、検証部123は、出力部124に処理を指示する。なお、検証部123は、この段階でレコード管理テーブル132に格納されているデータをクリアする。出力部124は、処理命令蓄積テーブル131に格納されている処理命令群を読み出して、ターゲットシステム4及び5に出力する(ステップS29)。
ターゲットシステム4及び5の処理実行部4b及び5bは、情報処理装置100から受信した処理命令群を順番にDB4a及び5aに対して実行する。そうすると、図20の例では、図23に示すようなデータが、DB4a及び5に蓄積されるようになる。図23でも、センシティブ情報は省略されている。
次に、処理命令制御部120は、図24に示すような処理命令群を受信したものとする。これは、レコード管理ID「aaa11」のレコードを追加することで、レコード管理ID「aaa04」のレコードを復元することになった場合を示している。
このような処理命令群に対して図21に示した処理フローを実行すると、図25に示すようなレコード管理テーブル132が得られるようになる。すなわち、レコード管理ID「aaa04」については処理内容「復元」であるから、検証結果は「NG」となり、レコード管理ID「aaa11」については処理内容「追加」であるから、検証結果は「OK」となる。そうなると、経時差分から個人識別可能性を高めることになるので、これらの処理命令を出力しないようにする。
次に、処理命令制御部120は、図26に示すような処理命令群を受信したものとする。これは、レコード管理ID「aaa04」のレコードにおける年齢、身長及び体重を更新したため、重複度がNを下回わり、レコード管理ID「aaa11」のレコードを隠蔽することになったことを示している。
このような処理命令群に対して図21に示した処理フローを実行すると、図27に示すようなレコード管理テーブル132が得られるようになる。すなわち、いずれのレコード管理IDについての検証結果も「OK」になるので、図24及び図26に示した処理命令群は、ターゲットシステム4及び5に出力されることになる。
結果としては、ターゲットシステム4及び5のDB4b及び5bには、図28に示すようなデータが蓄積されるようになる。図28の例では、レコード管理ID「aaa04」のレコードが更新されており、レコード管理ID「aaa11」のレコードが隠蔽された状態で追加される。
このような処理を実行することで、匿名化処理を確実に行うと共に、経時差分によるデータ解析を行っても個人識別可能性を抑えることができるようになる。
[実施の形態2]
第1の実施の形態では、復元又は隠蔽が行われたレコードについて再度処理命令が出力されないと、その処理命令を含む処理命令群が、ターゲットシステム4及び5に出力されないため、データ更新がなかなか行われないケースが生じ得る。そこで、本実施の形態では、可能な限り個人識別可能性を抑えるが、即時性を優先させる場合の実施の形態を説明する。
本実施の形態に係る処理命令制御部120b及びデータ格納部130bの構成例を図29に示す。
処理命令制御部120bは、データ取得部121bと、検証部123bと、出力部124bとを有する。また、データ格納部130bには、処理命令蓄積テーブル131bが格納される。
次に、図30を用いて、命令制御処理の処理内容について説明する。まず、データ取得部121bは、匿名化処理部110から処理命令群を受信すると、処理命令蓄積テーブル131bに格納する(図30:ステップS31)。本実施の形態では、終了フラグは用いられないので、匿名化処理部110も終了フラグを添付しないでも良い。そして、データ取得部121bは、検証部123bに処理を指示する。
検証部123bは、データ格納部130bにおける処理命令蓄積テーブル131bに格納されている処理命令に基づき、予め定められた指標値を算出する(ステップS33)。本実施の形態では、例えば3つの指標値のいずれかを算出する。
すなわち、(A)処理命令の総数、(B)個人識別可能性とは関係のない処理命令(「復元」及び「隠蔽」以外の処理命令)の数、(C)個人識別可能性に関係のある処理命令(「復元」又は「隠蔽」)の数に対する処理命令の総数の割合(=処理命令の総数に対する個人識別可能性に関係のある処理命令の割合の逆数)のいずれかである。
本実施の形態においては、ある程度の数の処理命令を実行すれば、様々な処理バリエーションが考えられるため、容易に推定ができなくなるという考え方に基づいている。(B)の場合には、「隠蔽」や「復元」という処理命令が多数来ていないことを確認するものである。また、(C)の場合には、隠蔽や復元という処理命令の割合が少ないことを確認するためであり、隠蔽や復元という処理命令の割合が少なければ(C)の指標値が大きくなる。
そして、検証部123bは、指標値が、定義データ格納部140に格納されている条件を満たしているか否かを判断する(ステップS35)。条件は、例えば閾値であり、例えば(A)及び(B)の指標値であれば閾値「4」以上であるという条件であり、(C)の指標値であれば閾値「4」以上であるという条件である。(C)の指標値であれば、隠蔽や復元という処理命令の4倍以上の処理命令群が得られることを条件としている。
なお、これらの閾値については実験的に、個人識別可能性を検証した上で決定される場合もある。
そして、指標値が条件を満たしていなければ、処理は終了する。一方、指標値が条件を満たしていれば、検証部123bは、出力部124bに処理を指示する。そうすると、出力部124bは、処理命令蓄積テーブル131bに格納されている処理命令群を、ターゲットシステム4及び5に出力する(ステップS37)。
このような処理を実行することによって、ある程度の処理命令群を受信すればターゲットシステム4及び5に処理命令群を出力することになるので、処理命令群を受け取る度に出力する場合と比べると頻度は低下するが、データ更新の即時性をあまり損ねずに、個人識別可能性をある程度抑えることができるようになる。
[実施の形態3]
第1の実施の形態と第2の実施の形態を組み合わせることによって、データ更新を比較的多頻度で行いつつ、経時差分を用いたデータ解析による個人識別可能性を効果的に抑制できるようになる。
本実施の形態に係る処理命令制御部120c及びデータ格納部130cの構成例を図31に示す。処理命令制御部120cは、データ取得部121cと、設定部122cと、第1検証部125と、第2検証部126と、出力部124cとを有する。また、データ格納部130cには、処理命令蓄積テーブル131cと、レコード管理テーブル132cとが格納される。
第1検証部125は、第1の実施の形態に係る検証部123と同様の処理を実行する。第2検証部126は、第2の実施の形態に係る検証部123bと同様の処理を実行する。
次に、図32を用いて処理命令制御部120cの処理内容について説明する。
処理命令制御部120cのデータ取得部121cは、匿名化処理部110から受け取った処理命令群のうち、未処理の1処理命令を、データ格納部130cにおける処理命令蓄積テーブル131cに格納する(ステップS41)。具体的には先頭から順番に選択する。また、データ取得部121cは、当該処理命令を設定部122cに出力する。
設定部122cは、当該処理命令からレコード管理ID及び処理内容を抽出し(ステップS43)、データ格納部130cにおけるレコード管理テーブル132cに、抽出されたレコード管理IDと同一のレコード管理IDのレコードが登録されているか判断する(ステップS45)。初めてレコードを追加するような場合には、抽出されたレコード管理IDと同一のレコード管理IDのデータがレコード管理テーブル132cに登録されていることはない。
抽出されたレコード管理IDと同一のデータが未登録であれば(ステップS45:Noルート)、設定部122cは、抽出された処理内容が「隠蔽」又は「復元」であるか判断する(ステップS47)。これらの操作のみが行われた場合には、経時差分を取った場合に個人識別可能性が高まることが分かっているので、ここで確認している。抽出された処理内容が「隠蔽」又は「復元」である場合には、設定部122cは、検証結果「NG」と抽出されたレコード管理IDとをレコード管理テーブル132cに格納する(ステップS49)。そして処理はステップS55に移行する。一方、抽出された処理内容が「隠蔽」又は「復元」ではない場合には、設定部122cは、検証結果「OK」と抽出されたレコード管理IDとをレコード管理テーブル132cに格納する(ステップS51)。そして処理はステップS55に移行する。
一方、レコード管理テーブル132cに、抽出されたレコード管理IDと同一のデータが登録されていれば(ステップS45:Yesルート)、「隠蔽」又は「復元」したレコードに対して「更新」又は「削除」する場合、「隠蔽」したレコードを「復元」する場合、「復元」したレコードを「隠蔽」する場合であり、これらは経時差分を取られても問題ない場合である。従って、設定部122cは、レコード管理テーブル132cにおいて、抽出されたレコード管理IDの検証結果を「OK」に変更する(ステップS53)。そして処理はステップS55に移行する。
そして、設定部122cは、取得された処理命令群の最後であるか、すなわち処理に係る処理命令の終了フラグが「YES」を表しているか判断する(ステップS55)。処理命令の終了フラグが「NO」であれば、処理はステップS41に戻る。
一方、処理に係る処理命令の終了フラグが「YES」であれば、設定部122cは、第1検証部125に処理を指示する。第1検証部125は、データ格納部130cにおけるレコード管理テーブル132cにおいて、検証結果がNGのレコードが存在しているか判断する(ステップS57)。本実施の形態では、同じレコードに対して再度の処理命令が出力されないと処理命令群がいつまでも出力されないという問題を回避するため、検証結果がNGのレコードが存在している場合には、第1検証部125は、第2検証部126に対して処理を指示する。第2検証部126は、データ格納部130cにおける処理命令蓄積テーブル131cに格納されている処理命令に基づき、予め定められた指標値を算出する(ステップS59)。本実施の形態でも、第2の実施の形態と同様に、例えば3つの指標値のいずれかを算出する。
すなわち、(A)処理命令の総数、(B)個人識別可能性とは関係のない処理命令(「復元」及び「隠蔽」以外の処理命令)の数、(C)個人識別可能性に関係のある処理命令(「復元」又は「隠蔽」)の数に対する処理命令の総数の割合(=処理命令の総数に対する個人識別可能性に関係のある処理命令の割合の逆数)のいずれかである。
そして、第2検証部126は、指標値が、定義データ格納部140に格納されている条件を満たしているか否かを判断する(ステップS61)。条件は、例えば閾値であり、例えば(A)及び(B)の指標値であれば閾値「4」以上であるという条件であり、(C)の指標値であれば閾値「4」以上であるという条件である。(C)の指標値であれば、隠蔽や復元という処理命令の4倍以上の処理命令が得られることを条件としている。なお、これらの閾値については実験的に、個人識別可能性を検証した上で決定される場合もある。
そして、指標値が条件を満たしていなければ、処理は終了する。一方、指標値が条件を満たしていれば、第2検証部126は、出力部124cに処理を指示する。また、第2検証部126は、レコード管理テーブル132cをクリアする。そうすると、出力部124cは、処理命令蓄積テーブル131cに格納されている処理命令群を、ターゲットシステム4及び5に出力する(ステップS63)。
一方、1つも検証結果がNGのレコードが存在しない場合には、第1検証部125は、出力部124cに処理を指示する。また、第1検証部125は、レコード管理テーブル132cをクリアする。すなわち、処理はステップS63に移行する。
ターゲットシステム4及び5の処理実行部4b及び5bは、情報処理装置100から受信した処理命令群を順番にDB4a及び5aに対して実行する。
このような処理を実行することで、データ更新の即時性をある程度担保しつつ、経時差分によるデータ解析が行われても個人識別可能性を抑えることができるようになる。
以上本技術の実施の形態を説明したが、本技術はこれに限定されない。例えば、上で述べた情報処理装置100の機能ブロック構成は一例であり、プログラムモジュール構成とは一致しない場合もある。さらに、処理フローについても、処理結果が変わらない限り、処理順番を入れ替えたり、処理を並列実行するようにしても良い。
なお、上で述べた情報処理装置100、ソースシステム2及び3、並びにターゲットシステム4及び5は、1又は複数のコンピュータ装置であって、図33に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本実施の形態をまとめると、以下のようになる。
本実施の形態に係る情報処理方法は、(A)所定の関係を有する複数のデータブロックが存在するか否かに基づき実行される匿名化処理がなされたデータブロックを格納するデータ格納部に格納されているデータブロックに対する処理命令であって、匿名化処理の処理結果と当該処理結果を反映させる処理の内容とを含む1又は複数の処理命令を受信し、(B)受信された1又は複数の処理命令を含む出力前の処理命令が所定の条件を満たしているか判断し、(C)所定の条件を満たしている場合には、出力前の処理命令を出力し、(D)所定の条件を満たしていない場合には、出力前の処理命令を保持する処理を含む。
個人識別可能性が十分抑えられるようになるまで処理命令の出力を抑止するものである。
上記判断する処理が、出力前の処理命令の数、出力前の処理命令のうち第1の種類の処理内容を含む処理命令の割合の逆数、又は出力前の処理命令のうち第1の種類とは異なる第2の種類の処理内容を含む処理命令の数が、閾値以上であるか否かを判断する処理を含むようにしても良い。閾値を適切に設定することで、データ更新の即時性をあまり損なわずに、処理命令を出力できるようになる。
また、上記判断する処理が、出力前の処理命令に、第1の種類の処理内容を含む処理命令が含まれていれば、当該処理命令の対象となるデータブロックと同一のデータブロックを対象とする他の処理内容を含む処理命令が含まれているという第1の条件、又は第1の種類の処理内容を含む処理命令が含まれていないという第2の条件を満たしているかを判断する処理を含むようにしても良い。個人識別可能性に影響がある第1の種類の処理内容に着目して、経時差分を用いたデータ解析によっても個人識別可能性が抑えられるようになる。
さらに、上記判断する処理が、第1の条件及び第2の条件を満たしていない場合出力前の処理命令の数、出力前の処理命令のうち第1の種類の処理内容を含む処理命令の割合の逆数、又は出力前の処理命令のうち第1の種類とは異なる第2の種類の処理内容を含む処理命令の数が、閾値以上であるか否かを判断する処理をさらに含むようにしても良い。このようにすれば、データ更新の即時性と個人識別可能性の抑制とをバランスさせることができるようになる。
さらに、第1の種類の処理内容が、データ格納部に格納されている特定のデータブロックに含まれる一部の属性値の隠蔽及びデータ格納部に格納されている特定のデータブロックに含まれる属性値の復元を含むようにしても良い。これらの処理内容については、個人識別可能性に影響がある処理内容であり、これらに着目するものである。
なお、上で述べたような処理をコンピュータに実施させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROMなどの光ディスク、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
所定の関係を有する複数のデータブロックが存在するか否かに基づき実行される匿名化処理がなされたデータブロックを格納するデータ格納部に格納されているデータブロックに対する処理命令であって、前記匿名化処理の処理結果と当該処理結果を反映させる処理の内容とを含む1又は複数の処理命令を受信し、
受信された前記1又は複数の処理命令を含む出力前の処理命令が所定の条件を満たしているか判断し、
前記所定の条件を満たしている場合には、前記出力前の処理命令を出力し、
前記所定の条件を満たしていない場合には、前記出力前の処理命令を保持する
処理を、コンピュータに実行させるための情報処理プログラム。
(付記2)
前記判断する処理が、
前記出力前の処理命令の数、前記出力前の処理命令のうち第1の種類の処理内容を含む処理命令の割合の逆数、又は前記出力前の処理命令のうち前記第1の種類とは異なる第2の種類の処理内容を含む処理命令の数が、閾値以上であるか否かを判断する処理
を含む付記1記載の情報処理プログラム。
(付記3)
前記判断する処理が、
前記出力前の処理命令に、第1の種類の処理内容を含む処理命令が含まれていれば、当該処理命令の対象となるデータブロックと同一のデータブロックを対象とする他の処理内容を含む処理命令が含まれているという第1の条件、又は前記第1の種類の処理内容を含む処理命令が含まれていないという第2の条件を満たしているかを判断する処理
を含む付記1記載の情報処理プログラム。
(付記4)
前記判断する処理が、
前記第1の条件及び前記第2の条件を満たしていない場合、前記出力前の処理命令の数、前記出力前の処理命令のうち前記第1の種類の処理内容を含む処理命令の割合の逆数、又は前記出力前の処理命令のうち前記第1の種類とは異なる第2の種類の処理内容を含む処理命令の数が、閾値以上であるか否かを判断する処理
をさらに含む付記3記載の情報処理プログラム。
(付記5)
前記第1の種類の処理内容が、前記データ格納部に格納されている特定のデータブロックに含まれる一部の属性値の隠蔽及び前記データ格納部に格納されている特定のデータブロックに含まれる属性値の復元を含む
付記2乃至4のいずれか1つ記載の情報処理プログラム。
(付記6)
所定の関係を有する複数のデータブロックが存在するか否かに基づき実行される匿名化処理がなされたデータブロックを格納するデータ格納部に格納されているデータブロックに対する処理命令であって、前記匿名化処理の処理結果と当該処理結果を反映させる処理の内容とを含む1又は複数の処理命令を受信し、
受信された前記1又は複数の処理命令を含む出力前の処理命令が所定の条件を満たしているか判断し、
前記所定の条件を満たしている場合には、前記出力前の処理命令を出力し、
前記所定の条件を満たしていない場合には、前記出力前の処理命令を保持する
処理を含み、コンピュータにより実行させる情報処理方法。
(付記7)
所定の関係を有する複数のデータブロックが存在するか否かに基づき実行される匿名化処理がなされたデータブロックを格納するデータ格納部に格納されているデータブロックに対する処理命令であって、前記匿名化処理の処理結果と当該処理結果を反映させる処理の内容とを含む1又は複数の処理命令を取得する取得部と、
取得された前記1又は複数の処理命令を含む出力前の処理命令が所定の条件を満たしているか判断する判断部と、
前記所定の条件を満たしている場合には、前記出力前の処理命令を出力する出力部と、
を有し、
前記所定の条件を満たしていない場合には、前記出力前の処理命令が保持される
情報処理装置。
100 情報処理装置
110 匿名化処理部
120 処理命令制御部
121 データ取得部
122 設定部
123 検証部
124 出力部
125 第1検証部
126 第2検証部

Claims (6)

  1. 複数のデータブロックを有する第1のデータブロック群に対する処理命令群であって、当該処理命令群を適用後の前記第1のデータブロック群が匿名化される処理命令群を順次受信し、
    前記第1のデータブロック群に未適用の第1の処理命令群が所定の条件を満たす場合は、当該第1の処理命令群を前記第1のデータブロック群に適用し、
    前記第1の処理命令群が前記所定の条件を満たさない場合は、当該第1の処理命令群を保持する、
    処理を、コンピュータに実行させる報処理プログラム。
  2. 前記所定の条件が、
    前記第1の処理命令群に含まれる処理命令の数が第1の閾値以上であるという第1の条件、前記第1の処理命令群に含まれる処理命令のうち隠蔽又は復元の処理命令の数に対する、前記第1の処理命令群に含まれる処理命令の数の割合が第2の閾値以上であるという第2の条件、又は前記第1の処理命令群に含まれる処理命令のうち隠蔽又は復元の処理命令以外の処理命令の数が第3の閾値以上であるという第3の条件を含む
    求項1記載の情報処理プログラム。
  3. 前記所定の条件が、
    前記第1の処理命令群が隠蔽又は復元の処理命令と隠蔽又は復元の処理命令以外の処理命令とを両方含むという第1の条件、又は前記第1の処理命令群が隠蔽又は復元の処理命令を含まないという第2の条件を含む
    求項1記載の情報処理プログラム。
  4. 前記第1の処理命令群を保持する処理において
    前記第1の処理命令群が前記第1の条件及び前記第2の条件を満たない場合、前記第1の処理命令群に含まれる処理命令の数が第1の閾値以上であるという第3の条件、前記第1の処理命令群に含まれる処理命令のうち隠蔽又は復元の処理命令の数に対する、前記第1の処理命令群に含まれる処理命令の数の割合が第2の閾値以上であるという第4の条件、又は前記第1の処理命令群に含まれる処理命令のうち隠蔽又は復元の処理命令以外の処理命令の数が第3の閾値以上であるという第5の条件が満たされるか判定し、
    前記第3の条件、前記第4の条件、又は前記第5の条件が満たされる場合、前記第1の処理命令群を前記第1のデータブロック群に適用し、
    前記第3の条件、前記第4の条件、及び前記第5の条件が満たされない場合、前記第1の処理命令群を保持する、
    求項3記載の情報処理プログラム。
  5. 複数のデータブロックを有する第1のデータブロック群に対する処理命令群であって、当該処理命令群を適用後の前記第1のデータブロック群が匿名化される処理命令群を順次受信し、
    前記第1のデータブロック群に未適用の第1の処理命令群が所定の条件を満たす場合は、当該第1の処理命令群を前記第1のデータブロック群に適用し、
    前記第1の処理命令群が前記所定の条件を満たさない場合は、当該第1の処理命令群を保持する、
    処理を、コンピュータ実行る情報処理方法。
  6. 複数のデータブロックを有する第1のデータブロック群に対する処理命令群であって、当該処理命令群を適用後の前記第1のデータブロック群が匿名化される処理命令群を順次受信する受信部と、
    前記第1のデータブロック群に未適用の第1の処理命令群が所定の条件を満たす場合は、当該第1の処理命令群を前記第1のデータブロック群に適用する適用部と、
    前記第1の処理命令群が前記所定の条件を満たさない場合は、当該第1の処理命令群を保持する保持部と、
    を有する情報処理装置。
JP2012283490A 2012-12-26 2012-12-26 情報処理プログラム、情報処理方法及び装置 Active JP5971115B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012283490A JP5971115B2 (ja) 2012-12-26 2012-12-26 情報処理プログラム、情報処理方法及び装置
US14/066,038 US20140181988A1 (en) 2012-12-26 2013-10-29 Information processing technique for data hiding

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012283490A JP5971115B2 (ja) 2012-12-26 2012-12-26 情報処理プログラム、情報処理方法及び装置

Publications (3)

Publication Number Publication Date
JP2014127037A JP2014127037A (ja) 2014-07-07
JP2014127037A5 JP2014127037A5 (ja) 2015-08-06
JP5971115B2 true JP5971115B2 (ja) 2016-08-17

Family

ID=50976392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012283490A Active JP5971115B2 (ja) 2012-12-26 2012-12-26 情報処理プログラム、情報処理方法及び装置

Country Status (2)

Country Link
US (1) US20140181988A1 (ja)
JP (1) JP5971115B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6042229B2 (ja) * 2013-02-25 2016-12-14 株式会社日立システムズ k−匿名データベース制御サーバおよび制御方法
CA2852253A1 (en) * 2014-05-23 2015-11-23 University Of Ottawa System and method for shifting dates in the de-identification of datesets
US11194931B2 (en) * 2016-12-28 2021-12-07 Sony Corporation Server device, information management method, information processing device, and information processing method
US11615208B2 (en) * 2018-07-06 2023-03-28 Capital One Services, Llc Systems and methods for synthetic data generation
US12001529B1 (en) * 2021-11-05 2024-06-04 Validate Me LLC Counting machine for manufacturing and validating event-relevant identities via an ensemble network

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350813A (ja) * 2005-06-17 2006-12-28 Nippon Telegr & Teleph Corp <Ntt> 個人情報保護運用システムおよび個人情報保護運用方法
JP5042667B2 (ja) * 2007-03-05 2012-10-03 株式会社日立製作所 情報出力装置、情報出力方法、及び、情報出力プログラム
WO2009042941A1 (en) * 2007-09-28 2009-04-02 Initiate Systems, Inc. Method and system for analysis of a system for matching data records
US8266168B2 (en) * 2008-04-24 2012-09-11 Lexisnexis Risk & Information Analytics Group Inc. Database systems and methods for linking records and entity representations with sufficiently high confidence
RU2549113C2 (ru) * 2009-05-21 2015-04-20 Интертраст Текнолоджиз Корпорейшн Системы и способы доставки информационного содержания
US8890664B2 (en) * 2009-11-12 2014-11-18 At&T Intellectual Property I, L.P. Serial programming of a universal remote control
WO2012063546A1 (ja) * 2010-11-09 2012-05-18 日本電気株式会社 匿名化装置及び匿名化方法
US9092267B2 (en) * 2011-06-20 2015-07-28 Qualcomm Incorporated Memory sharing in graphics processing unit
GB201112665D0 (en) * 2011-07-22 2011-09-07 Vodafone Ip Licensing Ltd Data anonymisation

Also Published As

Publication number Publication date
US20140181988A1 (en) 2014-06-26
JP2014127037A (ja) 2014-07-07

Similar Documents

Publication Publication Date Title
JP6101874B2 (ja) 要求された情報を削除するための方法およびシステム
JP5971115B2 (ja) 情報処理プログラム、情報処理方法及び装置
US20170099292A1 (en) Systems and Methods for Access Permission Revocation and Reinstatement
KR101975614B1 (ko) 클라우드 서비스 재접속 자동화 방법
US10476878B2 (en) Access permissions management system and method
US10204021B2 (en) Recovery of an infected and quarantined file in a primary storage controller from a secondary storage controller
US10887261B2 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
JPWO2014181541A1 (ja) 匿名性を検証する情報処理装置及び匿名性検証方法
WO2019048969A1 (en) ASYNCHRONOUS METADATA TRACK UPDATE IN RESPONSE TO A GENERATED INTERCEPTION VIA I / O OPERATION ON A BUS INTERFACE
JP2013073429A (ja) 情報処理方法及び装置
WO2012101531A1 (en) Data integrity protection in storage volumes
JP2017215868A (ja) 匿名化処理装置、匿名化処理方法、及びプログラム
CN105677579B (zh) 缓存***中的数据访问方法和***
US8825603B2 (en) Ordering volumes and tracks for data transfer based on usage characteristics
US9286055B1 (en) System, method, and computer program for aggregating fragments of data objects from a plurality of devices
JP2014011503A (ja) 秘匿化装置、秘匿化プログラムおよび秘匿化方法
JP6450098B2 (ja) 匿名化装置、匿名化方法及び匿名化プログラム
JP2014164477A (ja) k−匿名データベース制御装置及び制御方法
US9092472B1 (en) Data merge based on logical segregation
JP7102783B2 (ja) システム管理装置、システム管理方法、およびプログラム
JP7006077B2 (ja) 管理システム、管理方法、及び管理プログラム
JP5601462B2 (ja) 優先度設定装置、優先度設定方法、及びプログラム
US11650975B2 (en) Online file system consistency check for container data on a clustered filesystem
CN108683581A (zh) 邮件触发方法及装置、电子设备和计算机可读存储介质
KR20190086777A (ko) 공통 프로그램, 데이터베이스 관리장치 및 데이터베이스 관리방법

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150617

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160627

R150 Certificate of patent or registration of utility model

Ref document number: 5971115

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150