JP6943260B2 - サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム - Google Patents

サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム Download PDF

Info

Publication number
JP6943260B2
JP6943260B2 JP2018558827A JP2018558827A JP6943260B2 JP 6943260 B2 JP6943260 B2 JP 6943260B2 JP 2018558827 A JP2018558827 A JP 2018558827A JP 2018558827 A JP2018558827 A JP 2018558827A JP 6943260 B2 JP6943260 B2 JP 6943260B2
Authority
JP
Japan
Prior art keywords
anonymous
information
user
identification data
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018558827A
Other languages
English (en)
Other versions
JPWO2018123190A1 (ja
Inventor
信也 丸山
信也 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Sony Group Corp
Original Assignee
Sony Corp
Sony Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp, Sony Group Corp filed Critical Sony Corp
Publication of JPWO2018123190A1 publication Critical patent/JPWO2018123190A1/ja
Application granted granted Critical
Publication of JP6943260B2 publication Critical patent/JP6943260B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本開示は、サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラムに関する。
ユーザに関する情報として、様々な種類の情報が存在し得る。例えば、ユーザに関する情報として、匿名性を有する情報(以下、「匿名情報」とも言う。)が存在する。また、ユーザに関する情報として、関連するユーザの特定を可能とする情報(以下、「実名情報」とも言う。)が存在する。匿名情報と実名情報とが関連付けられた状態でサーバによって記憶され、サーバから匿名情報と実名情報とが漏洩した場合、匿名情報と実名情報とを取得した第三者がユーザに対して損害をもたらすおそれがある。
そのため、近年においては、匿名情報を実名情報から切り離した状態で管理するための技術が開発されている。例えば、実名情報を記憶するサーバ装置(以下、「実名情報サーバ」とも言う。)と匿名情報を記憶するサーバ装置(以下、「匿名情報サーバ」とも言う。)とを切り離すことによって、匿名情報が漏洩した場合であっても、実名情報と匿名情報との対応関係を第三者に容易に把握されないようにする技術が開示されている(例えば、特許文献1参照。)。
特開2013−109577号公報
しかし、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくする技術が提供されることが望ましい。
本開示によれば、ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行する、サーバ装置が提供される。
本開示によれば、ユーザの匿名情報が漏洩した場合におけるリスク値を取得することと、前記匿名情報に前記匿名情報を識別するための匿名IDを関連付けることと、を含み、前記リスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行することを含む、情報管理方法が提供される。
本開示によれば、コンピュータを、ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行する、サーバ装置として機能させるためのプログラムが提供される。
本開示によれば、ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行する、情報処理装置が提供される。
本開示によれば、ユーザの匿名情報を識別するための匿名IDを生成することと、前記匿名IDおよび前記匿名情報をサーバ装置に提供することと、を含み、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行することを含む、情報処理方法が提供される。
本開示によれば、コンピュータを、ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行する、情報処理装置として機能させるためのプログラムが提供される。
以上説明したように本開示によれば、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくする技術が提供される。なお、上記の効果は必ずしも限定的なものではなく、上記の効果とともに、または上記の効果に代えて、本明細書に示されたいずれかの効果、または本明細書から把握され得る他の効果が奏されてもよい。
本開示の実施形態に係る情報処理システムの構成例を示す図である。 同実施形態に係る情報処理装置の機能構成例を示す図である。 同実施形態に係る実名情報サーバの機能構成例を示す図である。 同実施形態に係る匿名情報サーバの機能構成例を示す図である。 位置情報に関連付けられる匿名IDを切り替える処理について説明するための図である。 位置情報と匿名IDとの関連付けをユーザごとに示した例である。 匿名IDを切り替えるタイミングの例を説明するための図である。 実名情報サーバおよび匿名情報サーバそれぞれによって記憶される情報の例を示す図である。 実名情報サーバおよび匿名情報サーバそれぞれによって記憶される情報の概要を説明するための図である。 ユーザIDと仮名IDとのマッピングの例を示す図である。 仮名IDと匿名IDとのマッピングの例を示す図である。 匿名IDを切り替える処理の詳細を説明するための図である。 ユーザの認証から位置情報の保存までの動作例(匿名IDの切り替えがなされない場合)を示すフローチャートである。 ユーザの認証から位置情報の保存までの動作例(匿名IDの切り替えがなされる場合)を示すフローチャートである。 ユーザの認証から位置情報の取得までの動作例を示すフローチャートである。 位置情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の詳細を説明するための図である。 同実施形態に係る情報処理装置のハードウェア構成例を示すブロック図である。
以下に添付図面を参照しながら、本開示の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
また、本明細書および図面において、実質的に同一または類似の機能構成を有する複数の構成要素を、同一の符号の後に異なる数字を付して区別する場合がある。ただし、実質的に同一または類似の機能構成を有する複数の構成要素の各々を特に区別する必要がない場合、同一符号のみを付する。また、異なる実施形態の類似する構成要素については、同一の符号の後に異なるアルファベットを付して区別する場合がある。ただし、類似する構成要素の各々を特に区別する必要がない場合、同一符号のみを付する。
なお、説明は以下の順序で行うものとする。
0.概要
1.実施形態の詳細
1.1.情報処理装置の機能構成例
1.2.実名情報サーバの機能構成例
1.3.匿名情報サーバの機能構成例
1.4.全体的な機能
1.5.動作例
2.変形例の説明
3.ハードウェア構成例
4.むすび
<0.概要>
まず、本開示の実施形態の概要について説明する。ユーザに関する情報として、様々な種類の情報が存在し得る。例えば、ユーザに関する情報として、匿名情報が存在する。また、ユーザに関する情報として、実名情報が存在する。匿名情報と実名情報とが関連付けられた状態でサーバによって記憶され、サーバから匿名情報と実名情報とが関連付けられた状態で漏洩した場合、匿名情報と実名情報とを取得した第三者がユーザに対して損害をもたらすおそれがある。
そのため、近年においては、匿名情報を実名情報から切り離した状態で管理するための技術が開発されている。図1は、本開示の実施形態に係る情報処理システムの構成例を示す図である。図1を参照すると、情報処理システム1は、情報処理装置10と、実名情報を記憶する実名情報サーバ20と、匿名情報を記憶する匿名情報サーバ30とを備える。このように、実名情報サーバ20と匿名情報サーバ30とを切り離すことによって、匿名情報が漏洩した場合であっても、実名情報と匿名情報との対応関係を第三者に容易に把握されないようにすることが可能である。
実名情報サーバ20は、記憶部250を備えており、ユーザを識別するための情報(以下、「ユーザID」とも言う。)とユーザの実名情報の例としてのユーザの個人情報とは、関連付けられた状態で記憶部250によって記憶されている。また、匿名情報サーバ30は、記憶部350を備えており、ユーザの匿名情報を識別するための情報(以下、「匿名ID」とも言う。)とユーザの匿名情報の例としてのユーザの位置情報とが、関連付けられた状態で記憶部350によって記憶されている。
なお、本開示の実施形態においては、匿名情報の例として位置情報を用いる場合を主に説明する。しかし、匿名情報は位置情報に限定されない。例えば、匿名情報は、何らかの機微データであってもよい。機微データは、他人に知られたくないセンシティブな情報であればよく、ユーザの生活に関わる情報であってもよいし、ユーザの健康に関わる情報であってもよいし、ユーザの身体に関する情報(例えば、脈波などの生体情報など)であってもよい。
ユーザIDと匿名IDとは、情報処理装置10においてマッピングされる(関連付けられる)。本明細書においては、情報処理装置10がユーザ自身のデバイスである場合を想定する。かかる場合には、クラウド上においては(サーバにおいては)、ユーザIDと匿名IDとがマッピングされないため(個人情報と位置情報との相関がないため)、ユーザ自身のデバイスからの情報漏洩がない限り、実名情報と匿名情報との対応関係は第三者に把握されない。しかし、情報処理装置10は、ユーザ自身のデバイスでなくてもよく、サーバであってもよい。
図1に示したように、情報処理装置10は、一例として、ユーザIDと匿名IDとの対応関係を把握するための鍵(以下、「マッピング鍵」とも言う。)151を保持しており、マッピング鍵151を用いて、ユーザIDに関連付けられた匿名IDを特定することが可能である。なお、ユーザIDに関連付けられた匿名IDの特定のために鍵は必須ではない。例えば、お互い乱数で生成したユーザIDと匿名IDのペアを含むデータベースやファイルを保存しておくだけでもよい。以下では、位置情報に対する匿名IDの関連付けを工夫することによって、位置情報が漏洩した場合であっても、漏洩した位置情報がどのユーザに関連するのかを特定しにくくする技術を主に説明する。
以上、本開示の実施形態の概要について説明した。
<1.実施形態の詳細>
続いて、本開示の実施形態の詳細について説明する。
[1.1.情報処理装置の機能構成例]
まず、本開示の実施形態に係る情報処理装置10の機能構成例について説明する。図2は、本開示の実施形態に係る情報処理装置10の機能構成例を示す図である。図2に示したように、情報処理装置10は、制御部110、検出部120、入力部130、通信部140、記憶部150および出力部160を有している。
なお、本明細書においては、制御部110、検出部120、入力部130、通信部140、記憶部150および出力部160が、同一のデバイス(情報処理装置10)の内部に存在する例を主に説明する。しかし、これらのブロックが存在する位置は特に限定されない。例えば、後に説明するように、これらのブロックの一部は、サーバなどに存在していてもよい。
制御部110は、情報処理装置10の各部の制御を実行する。図2に示したように、制御部110は、取得部111、匿名ID生成部112および匿名ID提供部113を備える。これらの各機能ブロックについての詳細は、後に説明する。なお、制御部110は、例えば、CPU(Central Processing Unit;中央演算処理装置)などで構成されていてよい。制御部110がCPUなどといった処理装置によって構成される場合、かかる処理装置は、電子回路によって構成されてよい。
検出部120は、各種のセンサを有しており、各種のセンサによるセンシングによりセンサデータを取得することが可能である。本開示の実施形態においては、検出部120がGPS(Global Positioning System)信号を受信可能なGPSセンサを含んでおり、このGPSセンサによって、情報処理装置10の緯度、経度および高度を測定することが可能である。
入力部130は、ユーザによる操作を検出して、検出した操作を制御部110に出力する。例えば、入力部130がタッチパネルにより構成される場合には、ユーザによる操作はタッチパネルに対する操作(例えば、タップ操作、ドラッグ操作など)に相当し得る。しかし、入力部130はタッチパネル以外のハードウェア(例えば、ボタンなど)により構成されていてもよい。あるいは、入力部130はマイクロフォンにより構成され、マイクロフォンによって音声が操作として検出されてもよい。
通信部140は、実名情報サーバ20および匿名情報サーバ30との間で通信を行う機能を有する。例えば、通信部140は、通信インターフェースにより構成される。例えば、通信部140は、通信ネットワーク931(図17)を介して、実名情報サーバ20および匿名情報サーバ30との間で通信を行うことが可能である。
記憶部150は、制御部110によって実行されるプログラムを記憶したり、プログラムの実行に必要なデータを記憶したりする記録媒体である。また、記憶部150は、制御部110による演算のためにデータを一時的に記憶する。記憶部150は、磁気記憶部デバイスであってもよいし、半導体記憶デバイスであってもよいし、光記憶デバイスであってもよいし、光磁気記憶デバイスであってもよい。
出力部160は、各種の情報を出力する。例えば、出力部160は、ユーザに視認可能な表示を行うことが可能なディスプレイを含んでよく、ディスプレイは、プロジェクタであってもよいし、液晶ディスプレイであってもよいし、有機EL(Electro−Luminescence)ディスプレイであってもよい。また、出力部160は、音声出力装置を含んでもよい。あるいは、出力部160は、ユーザに触覚を提示する触覚提示装置を含んでもよい。
以上、本開示の実施形態に係る情報処理装置10の機能構成例について説明した。
[1.2.実名情報サーバの機能構成例]
続いて、本開示の実施形態に係る実名情報サーバ20の機能構成例について説明する。図3は、本開示の実施形態に係る実名情報サーバ20の機能構成例を示す図である。図3に示したように、実名情報サーバ20は、制御部210、通信部240および記憶部250を有している。
なお、本明細書においては、制御部210、通信部240および記憶部250が、同一のデバイス(実名情報サーバ20)の内部に存在する例を主に説明する。しかし、これらのブロックが存在する位置は特に限定されない。例えば、後に説明するように、これらのブロックの一部は、他のサーバなどに存在していてもよい。
制御部210は、実名情報サーバ20の各部の制御を実行する。制御部210は、例えば、CPU(Central Processing Unit;中央演算処理装置)などで構成されていてよい。制御部210がCPUなどといった処理装置によって構成される場合、かかる処理装置は、電子回路によって構成されてよい。
通信部240は、情報処理装置10との間で通信を行う機能を有する。例えば、通信部240は、通信インターフェースにより構成される。例えば、通信部240は、通信ネットワーク931(図17)を介して、情報処理装置10との間で通信を行うことが可能である。
記憶部250は、制御部210によって実行されるプログラムを記憶したり、プログラムの実行に必要なデータを記憶したりする記録媒体である。また、記憶部250は、制御部210による演算のためにデータを一時的に記憶する。記憶部250は、磁気記憶部デバイスであってもよいし、半導体記憶デバイスであってもよいし、光記憶デバイスであってもよいし、光磁気記憶デバイスであってもよい。
以上、本開示の実施形態に係る実名情報サーバ20の機能構成例について説明した。
[1.3.匿名情報サーバの機能構成例]
続いて、本開示の実施形態に係る匿名情報サーバ30の機能構成例について説明する。図4は、本開示の実施形態に係る匿名情報サーバ30の機能構成例を示す図である。図4に示したように、匿名情報サーバ30は、制御部310、通信部340および記憶部350を有している。
なお、本明細書においては、制御部310、通信部340および記憶部350が、同一のデバイス(匿名情報サーバ30)の内部に存在する例を主に説明する。しかし、これらのブロックが存在する位置は特に限定されない。例えば、後に説明するように、これらのブロックの一部は、他のサーバなどに存在していてもよい。
制御部310は、匿名情報サーバ30の各部の制御を実行する。図4に示したように、制御部310は、データ取得部311、リスク値取得部312および処理実行部313を備える。これらの各機能ブロックについての詳細は、後に説明する。なお、制御部310は、例えば、CPU(Central Processing Unit;中央演算処理装置)などで構成されていてよい。制御部310がCPUなどといった処理装置によって構成される場合、かかる処理装置は、電子回路によって構成されてよい。
通信部340は、情報処理装置10との間で通信を行う機能を有する。例えば、通信部340は、通信インターフェースにより構成される。例えば、通信部340は、通信ネットワーク931(図17)を介して、情報処理装置10との間で通信を行うことが可能である。
記憶部350は、制御部310によって実行されるプログラムを記憶したり、プログラムの実行に必要なデータを記憶したりする記録媒体である。また、記憶部350は、制御部310による演算のためにデータを一時的に記憶する。記憶部350は、磁気記憶部デバイスであってもよいし、半導体記憶デバイスであってもよいし、光記憶デバイスであってもよいし、光磁気記憶デバイスであってもよい。
以上、本開示の実施形態に係る匿名情報サーバ30の機能構成例について説明した。
[1.4.全体的な機能]
続いて、本開示の実施形態に係る情報処理システム1の全体的な機能について説明する。まず、位置情報に対する匿名IDの関連付けの工夫の例として、位置情報に関連付けられる匿名IDを切り替える処理を説明する。
図5は、位置情報に関連付けられる匿名IDを切り替える処理について説明するための図である。図1を参照しながら説明したように、匿名情報サーバ30においては、記憶部350によってユーザの位置情報が記憶される。ユーザの位置情報は、時系列に沿って変化し得る。図5に示すように、匿名情報サーバ30において、時刻T−0から時刻T−(j+1)までの各時刻におけるユーザの位置情報が、情報処理装置10から匿名情報サーバ30に送信され、匿名情報サーバ30における記憶部350によって記憶される場合を想定する。
かかる場合、匿名情報サーバ30において、処理実行部313は、位置情報に関連付けられる匿名IDを所定のタイミングで切り替える処理を行う。匿名IDを切り替えるタイミングについては後に説明する。図5に示した例では、処理実行部313は、時刻T−iにおける位置情報に関連付けられる匿名ID−iと時刻T−(i+1)における位置情報に関連付けられる匿名ID−jとの間で切り替えを行っている。また、処理実行部313は、時刻T−jにおける位置情報に関連付けられる匿名ID−jと時刻T−(j+1)における位置情報に関連付けられる匿名ID−kとの間で切り替えを行っている。
図6は、位置情報と匿名IDとの関連付けをユーザごとに示した例である。上記したように、位置情報に関連付けられる匿名IDを切り替える処理によって、1人当たりのユーザの複数の位置情報に対して関連付けられる匿名IDは、1または複数種類になり得る。具体的に、図6を参照すると、ユーザP−1の1つの位置情報には、匿名ID−3が関連付けられ、ユーザP−1の2つの位置情報には、匿名ID−4が関連付けられ、ユーザP−1の5つの位置情報には、匿名ID−6が関連付けられている。
また、ユーザP−2の2つの位置情報には、匿名ID−1が関連付けられ、ユーザP−2の2つの位置情報には、匿名ID−5が関連付けられている。また、ユーザP−3の3つの位置情報には、匿名ID−2が関連付けられている。このように、位置情報に関連付けられる匿名IDを切り替える処理によって、長期間にわたる位置情報の履歴(行動履歴)から個人が特定されるリスクが低減される。すなわち、匿名IDを切り替える処理によって、ユーザP−1〜P−3それぞれに関連付けられた位置情報が第三者に把握されてしまう可能性が低減される(位置情報の秘密性が高まる)。
続いて、匿名IDを切り替えるタイミングの例について説明する。図7は、匿名IDを切り替えるタイミングの例を説明するための図である。図7に示すように、匿名情報サーバ30において、記憶部350は、情報処理装置10から受信した複数の位置情報を記憶している。そして、匿名情報サーバ30において、データ取得部311は、通信部340を介して、情報処理装置10から新たに位置情報を取得する。また、データ取得部311は、記憶部350によって記憶されている複数の位置情報を取得する。
続いて、リスク値取得部312は、データ取得部311によって取得された新たな位置情報が漏洩した場合におけるリスク値を算出する(S1)。具体的には、リスク値取得部312は、データ取得部311によって取得された新たな位置情報を現在の匿名IDに関連付けて保存した後、新たな位置情報と匿名IDとが関連付けられた状態で漏洩した場合に(あるいは、これらに加えて記憶部350から取得された複数の位置情報も匿名IDに関連付けられた状態で漏洩した場合に)、当該新たな位置情報に関連するユーザが第三者によって特定される可能性をリスク値として算出する。例えば、かかるリスク値は、位置情報および位置情報に関連する情報の少なくともいずれか一方に基づいて算出(取得)されてよい。
例えば、位置情報が所定の第1のエリアの内部に存在する場合には、位置情報が所定の第1のエリアの外部に存在する場合よりも、リスク値が高く算出されてよい。例えば、所定の第1のエリアは、ユーザのプライバシーへの影響度が高いエリア(例えば、自宅の内部または自宅の近隣など)であってよい。一方、位置情報が所定の第2のエリアの内部に存在する場合には、所定の第2のエリアの外部に存在する場合よりも、リスク値が低く算出されてよい。所定の第2のエリアは、ユーザのプライバシーへの影響度が低いエリア(例えば、公園の内部または公園の近隣など)であってよい。
具体的な例として、ユーザの走行を管理するアプリケーション(以下、「ランニングアプリ」とも言う。)が利用されている場合を想定する。かかる場合においては、ユーザがランニングを開始した直後は、ユーザが自宅の内部または自宅の近隣などに存在するため、リスク値は高く算出される。一方、ユーザが公園内においてランニングコースを周回している間は、リスク値が低く算出される。
また、記憶部350によって記憶されている複数の位置情報に対して、新たな位置情報が関連付けられて記憶された場合におけるリスク値であってよい。例えば、測位開始からの経過時間が所定の時間を上回った場合には、測位開始からの経過時間が所定の時間を下回る場合よりも、ユーザのプライバシーへの位置情報の影響度が高いことが想定される。そこで、測位開始からの経過時間が所定の時間を下回る場合よりも、リスク値が高く算出されてよい。
具体的な例として、ユーザの日々の運動データを記録するアプリケーション(以下、「ライフログアプリ」とも言う。)が利用されている場合を想定する。かかる場合においては、ユーザの位置情報が一定の時間ごと(例えば、2分ごと)に記録される。このとき、測位開始からの経過時間が所定の時間(例えば、24時間など)を上回った場合には、測位開始からの経過時間が所定の時間を下回る場合よりも、ユーザのプライバシーへの位置情報の影響度が高いとして、リスク値が高く算出されてよい。
処理実行部313は、新たな位置情報に匿名IDを関連付ける。このとき、処理実行部313は、リスク値が所定の閾値を超えない場合には、新たな位置情報に関連付けられる匿名IDを前回受信された位置情報に関連付けられた匿名IDと同じにする(新たな位置情報に関連付けられる匿名IDを切り替えない)。一方、処理実行部313は、リスク値が所定の閾値を超える場合、新たな位置情報に関連付けられる匿名IDを前回受信された位置情報に関連付けられた匿名IDと異ならせる(新たな位置情報に関連付けられる匿名IDを切り替える)。処理実行部313は、新たな位置情報と匿名IDとを関連付けられた状態で記憶部350に保存する(記憶させる)(S2)。
続いて、実名情報サーバ20および匿名情報サーバ30それぞれによって記憶される情報の例について説明する。図8は、実名情報サーバ20および匿名情報サーバ30それぞれによって記憶される情報の例を示す図である。図8に示すように、実名情報サーバ20は、実名ユーザについての情報を記憶する空間(以下、「実名ユーザ空間」とも言う。)を有している。実名ユーザ空間は、ユーザIDとユーザの実名情報の例としてのユーザの個人情報とを関連付けた状態で記憶する。
図8には、ユーザIDの例として、「ユーザA」「ユーザB」「ユーザC」が示されている。しかし、ユーザIDの数は3つに限定されず、いくつであってもよい。また、図8には、ユーザの個人情報として、ユーザの名前(実名)、emailアドレスおよびSNS(Social Networking Service)アカウントが示されている。しかし、ユーザの個人情報は、これらに限定されない。
また、図8に示すように、匿名情報サーバ30は、仮名ユーザについての情報を記憶する空間(以下、「仮名ユーザ空間」とも言う。)を有している。なお、以下では、ユーザIDが付されたユーザを実名ユーザと称し、実名ユーザに付されたユーザIDとは異なる種類のID(以下、「仮名ID」とも言う。)が付されたユーザを仮名ユーザと称する場合がある。仮名ユーザ空間は、仮名IDと仮名ユーザの属性とを関連付けた状態で記憶する。
図8には、仮名IDの例として、「仮名X」「仮名Y」「仮名Z」が示されている。また、図8には、仮名ユーザの属性として、仮名ユーザの年齢、性別、統計データおよび識別データの例としてのInitialization vector(以下、「IV」とも示す。)が示されている。これらの例のように、仮名ユーザの属性は、位置情報などの匿名情報と比較して、関連するユーザの特定が困難な情報であり得る。仮名ユーザの属性は、これらに限定されない。なお、IV(s)における(s)は、IVが複数存在することを示している。
また、図8に示すように、匿名情報サーバ30は、ユーザの匿名情報の例としての位置情報を記憶する空間(以下、「位置データ空間」とも言う。)を有している。位置データ空間は、ユーザの位置情報と匿名IDとを関連付けた状態で記憶する。図8には、匿名IDの例として、「匿名ID−1」から「匿名ID−9」までが示されている。しかし、匿名IDの数は9つに限定されず、いくつであってもよい。また、図8には、匿名IDに関連する複数の位置情報がドットによって示されている。
図9は、実名情報サーバ20および匿名情報サーバ30それぞれによって記憶される情報の概要を説明するための図である。図9に示すように、実名情報サーバ20は、実名ユーザ空間を有しており、実名ユーザ空間は、ユーザの名前およびemailなどといった個人情報を扱う。一方、匿名情報サーバ30は、仮名ユーザ空間を有しており、仮名ユーザ空間は、仮名ユーザの属性を保持する。また、匿名情報サーバ30は、位置データ空間を有しており、位置データ空間は、位置情報を匿名で保持する。なお、匿名情報サーバ30は、位置データ空間の代わりに機微データ空間を有していてもよい。機微データの例は既に述べた通りである。
続いて、情報処理装置10におけるマッピングの例について説明する。図10は、ユーザIDと仮名IDとのマッピングの例を示す図である。図10に示すように、ユーザIDと仮名IDとは、同一のユーザに対して付される。図10に示した例では、ユーザID「ユーザA」と仮名ID「仮名X」とが同一のユーザ(図6に示したユーザP−1)に対して付されており、情報処理装置10において、ユーザID「ユーザA」と仮名ID「仮名X」とがマッピングされている。
同様に、ユーザID「ユーザB」と仮名ID「仮名Y」とが同一のユーザ(図6に示したユーザP−2)に対して付されており、情報処理装置10において、ユーザID「ユーザB」と仮名ID「仮名Y」とがマッピングされている。また、ユーザID「ユーザC」と仮名ID「仮名Z」とが同一のユーザ(図6に示したユーザP−3)に対して付されており、情報処理装置10において、ユーザID「ユーザC」と仮名ID「仮名Z」とがマッピングされている。
図11は、仮名IDと匿名IDとのマッピングの例を示す図である。図11に示すように、仮名IDに対して1または複数の匿名IDが関連付けられる。図11に示した例では、仮名ID「仮名X」と複数の匿名ID(例えば、匿名ID−1、匿名ID−2および匿名ID−3)とが関連付けられており、情報処理装置10において、仮名ID「仮名X」と複数の匿名ID(例えば、匿名ID−1、匿名ID−2および匿名ID−3)とがマッピングされている。
同様に、仮名ID「仮名Y」と複数の匿名ID(例えば、匿名ID−4、匿名ID−5および匿名ID−6)とが関連付けられており、情報処理装置10において、仮名ID「仮名Y」と複数の匿名ID(例えば、匿名ID−4、匿名ID−5および匿名ID−6)とがマッピングされている。また、仮名ID「仮名Z」と複数の匿名ID(例えば、匿名ID−7、匿名ID−8および匿名ID−9)とが関連付けられており、情報処理装置10において、仮名ID「仮名Y」と複数の匿名ID(例えば、匿名ID−7、匿名ID−8および匿名ID−9)とがマッピングされている。
続いて、匿名IDを切り替える処理について詳細に説明する。図12は、匿名IDを切り替える処理の詳細を説明するための図である。図12に示すように、情報処理装置10において、実名情報サーバ20によって提供される所定のサイトへのログインIDとパスワードとがユーザによって入力される。そして、入力部130によってログインIDとパスワードとが受け付けられると、通信部140によってログインIDとパスワードとが実名情報サーバ20に送信される。
実名情報サーバ20において、通信部240によってログインIDとパスワードとが受信されると、制御部210によってログインIDおよびパスワードがあらかじめ登録されたデータと一致するか否かを判断することによって、ユーザの認証を行う(S11)。通信部240は、ユーザの認証が成功した場合、ログインIDおよびパスワードに対応してあらかじめ登録されたユーザIDを情報処理装置10に送信する。なお、ここでは、ユーザIDが実名情報サーバ20から送信される場合を主に説明するが、ユーザIDは、ユーザ自身が入力してもよい。
続いて、情報処理装置10においては、取得部111は、通信部140を介してユーザIDを取得する。そして、匿名ID生成部112は、ユーザIDに関連付けられた仮名IDを得る。例えば、匿名ID生成部112は、ユーザIDに対してあらかじめ用意されたマッピング鍵151を用いて暗号化を行うことによって得られる暗号化データを、ユーザIDに関連付けられた仮名IDとして得る(S12)。通信部140は、仮名IDを匿名情報サーバ30に送信する。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して仮名IDが取得されると、処理実行部313は、仮名IDにIV−1(第1の識別データ)を関連付ける。そして、通信部340によってIV−1が情報処理装置10に送信される。情報処理装置10においては、匿名ID生成部112によって通信部140を介してIV−1が取得される。
匿名ID生成部112は、IV−1に応じた匿名ID−1(第1の匿名ID)を生成する。ここで、匿名ID−1はどのように生成されてもよい。一例として、匿名ID生成部112は、仮名IDに関連付けられた匿名ID鍵152を得る。具体的には、匿名ID生成部112は、仮名IDに対してマッピング鍵151を用いて暗号化を行うことによって得られる暗号化データを、仮名IDに関連付けられた匿名ID鍵152として得る(S13)。そして、匿名ID生成部112は、IV−1に対して匿名ID鍵152を用いて暗号化を行うことによって得られる暗号化データを、IV−1に応じた匿名ID−1として生成する(S21)。
匿名ID提供部113は、時刻T−0における位置情報と匿名ID−1とを、通信部140を介して匿名情報サーバ30に提供する。ここでは、匿名ID提供部113によって、匿名ID−1と匿名ID鍵152とハッシュ関数とに基づいて、HMAC(Hash−based Message Authentication Code)が生成され、HMACが匿名ID−1として匿名情報サーバ30に提供される場合を主に想定する。しかし、HMACの生成は必須ではない。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して時刻T−0における位置情報と匿名ID−1とが取得される。そして、処理実行部313は、時刻T−0における位置情報と匿名ID−1とを関連付けた状態で、記憶部350に保存する(記憶させる)。なお、時刻T−0における位置情報は、匿名情報サーバ30によって初めて取得される位置情報であるため、時刻T−0における位置情報が漏洩した場合におけるリスク値は特に算出されなくてよい。
続いて、匿名ID提供部113は、時刻T−1における位置情報(第1の匿名情報)と匿名ID−1(第1の匿名ID)とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−1における位置情報と匿名ID−1とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−1における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超えない場合、匿名IDを切り替える処理は行わずに、匿名ID−1を時刻T−1における位置情報に関連付ける。ここでは、リスク値が閾値を超えないために、時刻T−0における位置情報に関連付けられた匿名ID−1と同じ匿名ID−1が時刻T−1における位置情報に関連付けられる場合を想定する。
続いて、匿名ID提供部113は、時刻T−2における位置情報(第2の匿名情報)と匿名ID−2(第2の匿名ID)とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−2における位置情報と匿名ID−2とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−2における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超える場合、匿名IDを切り替える処理を行い、匿名ID−1とは異なる匿名ID−2を時刻T−2における位置情報に関連付ける。ここでは、リスク値が閾値を超える場合を想定する。
このとき、処理実行部313は、通信部340を介して匿名ID再生成リクエストを情報処理装置10に提供する。情報処理装置10においては、取得部111によって通信部140を介して匿名ID再生成リクエストが取得されると、匿名ID生成部112は、通信部140を介して新IV生成リクエストを匿名情報サーバ30に提供する。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して新IV生成リクエストが取得されると、処理実行部313は、仮名IDにIV−1とは異なるIV−2(第2の識別データ)を関連付ける。そして、通信部340によってIV−2が情報処理装置10に送信される。情報処理装置10においては、匿名ID生成部112によって通信部140を介してIV−2が取得される。
匿名ID生成部112は、IV−2に応じた匿名ID−2(第2の匿名ID)を生成する(S22)。ここで、匿名ID−2は匿名ID−1と同様に生成されてよい。匿名ID提供部113は、時刻T−2における位置情報と匿名ID−2とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって通信部340を介して時刻T−2における位置情報と匿名ID−2とが取得される。そして、処理実行部313は、時刻T−2における位置情報と匿名ID−2とを関連付けた状態で、記憶部350に保存する(記憶させる)。
続いて、匿名ID提供部113は、時刻T−3における位置情報と匿名ID−2とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−3における位置情報と匿名ID−2とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−3における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超えない場合、匿名IDを切り替える処理は行わずに、匿名ID−2を時刻T−3における位置情報に関連付ける。ここでは、リスク値が閾値を超えないために、時刻T−2における位置情報に関連付けられた匿名ID−2と同じ匿名ID−2が時刻T−3における位置情報に関連付けられる場合を想定する。
続いて、匿名ID提供部113は、時刻T−4における位置情報と匿名ID−2とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−4における位置情報と匿名ID−2とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−4における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超えない場合、匿名IDを切り替える処理は行わずに、匿名ID−2を時刻T−4における位置情報に関連付ける。ここでは、リスク値が閾値を超えないために、時刻T−3における位置情報に関連付けられた匿名ID−2と同じ匿名ID−2が時刻T−4における位置情報に関連付けられる場合を想定する。
続いて、匿名ID提供部113は、時刻T−5における位置情報と匿名ID−2とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−5における位置情報と匿名ID−2とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−5における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超える場合、匿名IDを切り替える処理を行い、匿名ID−2とは異なる匿名ID−3を時刻T−5における位置情報に関連付ける。ここでは、リスク値が閾値を超える場合を想定する。
このとき、匿名ID−1と同様にして匿名ID−3が生成される(S23)。匿名ID提供部113は、時刻T−5における位置情報と匿名ID−3とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって通信部340を介して時刻T−5における位置情報と匿名ID−3とが取得される。そして、処理実行部313は、時刻T−5における位置情報と匿名ID−3とを関連付けた状態で、記憶部350に保存する(記憶させる)。
続いて、匿名ID提供部113は、時刻T−6における位置情報と匿名ID−3とを、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって時刻T−6における位置情報と匿名ID−3とが通信部340を介して取得される。
ここで、リスク値取得部312は、時刻T−6における位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値を超えない場合、匿名IDを切り替える処理は行わずに、匿名ID−3を時刻T−6における位置情報に関連付ける。ここでは、リスク値が閾値を超えないために、時刻T−5における位置情報に関連付けられた匿名ID−3と同じ匿名ID−3が時刻T−6における位置情報に関連付けられる場合を想定する。
このようにして、時刻T−1から時刻T−6までのそれぞれにおける位置情報に対して匿名IDが関連付けられる。特に、図12には、時刻T−2および時刻T−5において、匿名IDを切り替える処理がなされる例を示した。しかし、匿名IDを切り替える処理がなされるタイミングは、これらの例に限定されない。そして、時刻T−7以降における位置情報に対しても同様にして匿名IDが関連付けられる。
以上、本開示の実施形態に係る情報処理システム1の全体的な機能について説明した。
[1.5.動作例]
続いて、本開示の実施形態に係る情報処理システム1の動作例について説明する。図13は、ユーザの認証から位置情報の保存までの動作例(匿名IDの切り替えがなされない場合)を示すフローチャートである。なお、図13に示したフローチャートは、ユーザの認証から位置情報の保存までの動作の一例を示したに過ぎない。したがって、ユーザの認証から位置情報の保存までの動作は、図13に示したフローチャートの動作例に限定されない。
情報処理装置10において、実名情報サーバ20によって提供される所定のサイトへのログインIDとパスワードとがユーザによって入力される。そして、入力部130によってログインIDとパスワードとが受け付けられると、通信部140によってログインIDとパスワードとが実名情報サーバ20に送信される(S31)。
実名情報サーバ20において、通信部240によってログインIDとパスワードとが受信されると、制御部210によってログインIDおよびパスワードがあらかじめ登録されたデータと一致するか否かを判断することによって、ユーザの認証を行う。通信部240は、ユーザの認証が成功した場合、ログインIDおよびパスワードに対応してあらかじめ登録されたユーザIDを情報処理装置10に送信する(S32)。
続いて、情報処理装置10においては、取得部111は、通信部140を介してユーザIDを取得する。そして、匿名ID生成部112は、ユーザIDに対してあらかじめ用意されたマッピング鍵151を用いて暗号化を行うことによって得られる暗号化データを、ユーザIDに関連付けられた仮名IDとして得る(S33)。通信部140は、仮名IDを匿名情報サーバ30に送信する(S34)。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して仮名IDが取得されると、処理実行部313は、仮名IDにIVを関連付ける。そして、通信部340によってIVが情報処理装置10に送信される(S35)。情報処理装置10においては、取得部111によって通信部140を介してIVが取得される。
匿名ID生成部112は、仮名IDに対してマッピング鍵151を用いて暗号化を行うことによって得られる暗号化データを、仮名IDに関連付けられた匿名ID鍵152として得る(S36)。そして、匿名ID生成部112は、IVに対して匿名ID鍵152を用いて暗号化を行うことによって得られる暗号化データを、IVに応じた匿名IDとして生成する(S37)。
匿名ID提供部113は、位置情報と匿名IDとを、通信部140を介して匿名情報サーバ30に提供する(S38)。匿名情報サーバ30においては、データ取得部311によって通信部340を介して位置情報と匿名IDとが取得される。
ここで、リスク値取得部312は、位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値(max)を超えない場合、匿名IDを切り替える処理を行わない。ここでは、リスク値が閾値を超えない場合を想定する。このとき、処理実行部313は、位置情報と匿名IDとを関連付けた状態で、記憶部350に保存する(記憶させる)。
図14は、ユーザの認証から位置情報の保存までの動作例(匿名IDの切り替えがなされる場合)を示すフローチャートである。なお、図14に示したフローチャートは、ユーザの認証から位置情報の保存までの動作の一例を示したに過ぎない。したがって、ユーザの認証から位置情報の保存までの動作は、図14に示したフローチャートの動作例に限定されない。
まず、図13を参照しながら説明したように、ユーザの認証から匿名IDの生成までが実行される(S31〜S37)。続いて、匿名ID提供部113は、位置情報と匿名IDとを、通信部140を介して匿名情報サーバ30に提供する(S41)。匿名情報サーバ30においては、データ取得部311によって位置情報と匿名IDとが通信部340を介して取得される。
ここで、リスク値取得部312は、位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値(max)を超える場合(S42)、匿名IDを切り替える処理を行う。ここでは、リスク値が閾値を超える場合を想定する。
このとき、処理実行部313は、通信部340を介して匿名ID再生成リクエストを情報処理装置10に提供する(S43)。情報処理装置10においては、取得部111によって通信部140を介して匿名ID再生成リクエストが取得されると、匿名ID生成部112は、通信部140を介して新IV生成リクエストを匿名情報サーバ30に提供する(S44)。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して新IV生成リクエストが取得されると、処理実行部313は、仮名IDに関連付けられるIVを切り替える。そして、通信部340によって切り替え後のIVが情報処理装置10に送信される(S45)。情報処理装置10においては、取得部111によって通信部140を介して切り替え後のIVが取得される。切り替え後のIVに応じた匿名IDの生成から位置情報の保存までは、図13を参照しながら説明したように実行される(S37〜S38)。
図15は、ユーザの認証から位置情報の取得までの動作例を示すフローチャートである。なお、図15に示したフローチャートは、ユーザの認証から位置情報の取得までの動作の一例を示したに過ぎない。したがって、ユーザの認証から位置情報の取得までの動作は、図15に示したフローチャートの動作例に限定されない。
まず、図13を参照しながら説明したように、ユーザの認証から仮名IDの生成までが実行される(S31〜S33)。通信部140は、仮名IDと開始時刻および終了時刻とを匿名情報サーバ30に送信する(S51)。なお、開始時刻および終了時刻は、IVの範囲を特定するための情報の例であるため、開始時刻および終了時刻の代わりに、IVの範囲を特定するための他の情報が用いられてもよい。例えば、IVの範囲を特定するための情報は、開始時刻のみを含んでもよいし、終了時刻のみを含んでもよい。
ここで、開始時刻および終了時刻は、どのように指定されてもよい。一例として、開始時刻および終了時刻は、ユーザによって利用される所定のアプリケーションに記録された開始時刻および終了時刻であってもよい。開始時刻および終了時刻は、ユーザによる所定の操作(例えば、ボタンの押下操作など)によって記録されてもよい。このとき、ユーザの位置情報も、開始時刻において保存開始され、終了時刻において保存終了されてもよい。
なお、ユーザによって利用されるアプリケーションの種類は限定されない。例えば、ユーザによって利用されるアプリケーションは、ユーザの走行を管理するアプリケーションであってもよい。このとき、開始時刻および終了時刻は、ランニングアプリに記録された走行開始時刻および走行終了時刻であってもよい。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して仮名IDと開始時刻および終了時刻とが取得されると、処理実行部313は、仮名IDに関連付けられたIV(s)のうち、開始時刻および終了時刻までの時間に関連付けられたIV(s)を、通信部340を介して情報処理装置10に送信する(S53)。情報処理装置10においては、取得部111によって通信部140を介してIV(s)が取得される。
匿名ID生成部112は、取得されたすべてのIV(s)に対して匿名ID鍵152を用いて暗号化を行うことによって得られる暗号化データを、全IV(s)に応じた匿名ID(s)として生成する(S37)。続いて、匿名ID提供部113は、生成された匿名ID(s)を、通信部140を介して匿名情報サーバ30に提供する(S53)。匿名情報サーバ30においては、データ取得部311によって匿名ID(s)が通信部340を介して取得される。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して匿名ID(s)が取得されると、処理実行部313は、匿名ID(s)に関連付けられた位置情報を、通信部340を介して情報処理装置10に提供する(S54)。なお、ここでは、位置情報に関する所定の動作として位置情報の取得を例として説明したが、位置情報の取得の代わりに、または、位置情報の取得に加えて、位置情報に関する他の動作が行われてもよい。
例えば、このようにして取得された位置情報は、出力部160によって出力されてもよい。あるいは、制御部110は、このようにして取得された位置情報に基づいて、所定の表示データを生成し、この表示データを出力160に出力させてもよい。例えば、ユーザによってランニングアプリが利用されている場合、位置情報に基づいてランニングルートが表示データとして算出されてもよいし、位置情報に基づいてランニングの平均速度が表示データとして算出されてもよい。
以上において、本開示の実施形態について説明した。本開示の実施形態によれば、情報処理装置において、リスク値取得部312が、ユーザの位置情報が漏洩した場合におけるリスク値を取得する。そして、処理実行部313が、位置情報に位置情報を識別するための匿名IDを関連付ける。また、処理実行部313は、リスク値が所定の閾値を超える場合、位置情報に関連付けられる匿名IDを切り替える処理を実行する。かかる構成によれば、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくすることが可能である。また、長期間にわたる位置情報の履歴(行動履歴)から個人が特定されるリスクが低減される。
<2.変形例の説明>
続いて、本開示の実施形態の変形例について説明する。上記においては、位置情報に対する匿名IDの関連付けの工夫の例として、位置情報に関連付けられる匿名IDを切り替える処理について説明した。本開示の実施形態の変形例においては、位置情報に対する匿名IDの関連付けの工夫の例として、位置情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理について説明する。
図16は、位置情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の詳細を説明するための図である。複数の分割情報として、緯度および経度を例に挙げて説明するが、複数の分割情報は、緯度および経度に限定されない。例えば、複数の分割情報は、緯度および経度に加えて、高度をさらに含んでもよい。
まず、図13を参照しながら説明したように、ユーザの認証から匿名ID鍵の生成までが実行される(S31〜S36)。続いて、匿名ID提供部113は、通信部140を介して位置情報を匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって位置情報が通信部340を介して取得される。
ここで、リスク値取得部312は、位置情報が漏洩した場合におけるリスク値を算出する。処理実行部313は、リスク値が閾値(max)を超えない場合、位置情報の分割を行わない。すなわち、処理実行部313は、リスク値が閾値(max)を超えない場合、通信部340を介してIV(第1の識別データ)を情報処理装置10に提供する。
情報処理装置10においては、取得部111によって通信部140を介してIV(第1の識別データ)が取得されると、匿名ID生成部112は、IV(第1の識別データ)に応じた匿名ID−1(第1の匿名ID)を生成し、匿名ID提供部113は、通信部140を介して匿名ID−1を匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって匿名ID−1が通信部340を介して取得されると、処理実行部313は、位置情報に対して匿名ID−1を関連付け、位置情報と匿名ID−1とを関連付けた状態で、記憶部350に保存する(記憶させる)。
一方、処理実行部313は、リスク値が閾値(max)を超える場合、位置情報を緯度および経度に分割し、緯度および経度それぞれに対して関連付けられる匿名IDを異ならせる処理を行う。ここでは、リスク値が閾値を超える場合を想定する。
このとき、処理実行部313は、通信部340を介して匿名ID追加リクエストを情報処理装置10に提供する。情報処理装置10においては、取得部111によって通信部140を介して匿名ID追加リクエストが取得されると、匿名ID生成部112は、通信部140を介して新IV追加リクエストを匿名情報サーバ30に提供する。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して新IV追加リクエストが取得されると、処理実行部313は、仮名IDに関連付けられるIV(第2の識別データ)を追加する。そして、通信部340によって追加されたIV(第2の識別データ)が情報処理装置10に送信される。情報処理装置10においては、取得部111によって通信部140を介して追加されたIV(第2の識別データ)が取得される。
匿名ID生成部112は、追加されたIV(第2の識別データ)に対して匿名ID鍵152を用いて暗号化を行うことによって得られる暗号化データを、追加されたIV(第2の識別データ)に応じた匿名ID−2(第2の匿名ID)として生成する。匿名ID提供部113は、匿名ID−2を、通信部140を介して匿名情報サーバ30に提供する。匿名情報サーバ30においては、データ取得部311によって通信部340を介して匿名ID−2が取得される。
匿名情報サーバ30においては、データ取得部311によって通信部340を介して匿名ID−2が取得されると、処理実行部313は、緯度に対して匿名ID−1を関連付け、経度に対して匿名ID−2を関連付ける。そして、処理実行部313は、緯度と匿名ID−1とを関連付けた状態で、記憶部350に保存する(記憶させる)とともに、経度と匿名ID−2とを関連付けた状態で、記憶部350に保存する(記憶させる)。
以上において、本開示の実施形態の変形例について説明した。本開示の実施形態によれば、情報処理装置において、リスク値取得部312が、ユーザの位置情報が漏洩した場合におけるリスク値を取得する。そして、処理実行部313が、位置情報に位置情報を識別するための匿名IDを関連付ける。また、処理実行部313は、リスク値が所定の閾値を超える場合、位置情報の分割によって得られる緯度および経度それぞれに対して関連付けられる匿名IDを異ならせる処理を実行する。かかる構成によれば、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくすることが可能である。より具体的には、緯度と経度との対応関係が特定できないため、漏洩した情報からでは位置情報を特定することができない。また、位置情報が特定できないため、その漏洩した情報から個人を推定することも困難となる。
<3.ハードウェア構成例>
次に、図17を参照して、本開示の実施形態に係る情報処理装置10のハードウェア構成について説明する。図17は、本開示の実施形態に係る情報処理装置10のハードウェア構成例を示すブロック図である。なお、図17に示した例は、情報処理装置10のハードウェア構成例であるが、実名情報サーバ20および匿名情報サーバ30それぞれのハードウェア構成も、図17に示したハードウェア構成例と同様に実現され得る。
図17に示すように、情報処理装置10は、CPU(Central Processing unit)901、ROM(Read Only Memory)903、およびRAM(Random Access Memory)905を含む。また、情報処理装置10は、ホストバス907、ブリッジ909、外部バス911、インターフェース913、入力装置915、出力装置917、ストレージ装置919、ドライブ921、接続ポート923、通信装置925を含んでもよい。さらに、情報処理装置10は、必要に応じて、撮像装置933、およびセンサ935を含んでもよい。情報処理装置10は、CPU901に代えて、またはこれとともに、DSP(Digital Signal Processor)またはASIC(Application Specific Integrated Circuit)と呼ばれるような処理回路を有してもよい。
CPU901は、演算処理装置および制御装置として機能し、ROM903、RAM905、ストレージ装置919、またはリムーバブル記録媒体927に記録された各種プログラムに従って、情報処理装置10内の動作全般またはその一部を制御する。ROM903は、CPU901が使用するプログラムや演算パラメータなどを記憶する。RAM905は、CPU901の実行において使用するプログラムや、その実行において適宜変化するパラメータなどを一時的に記憶する。CPU901、ROM903、およびRAM905は、CPUバスなどの内部バスにより構成されるホストバス907により相互に接続されている。さらに、ホストバス907は、ブリッジ909を介して、PCI(Peripheral Component Interconnect/Interface)バスなどの外部バス911に接続されている。
入力装置915は、例えば、マウス、キーボード、タッチパネル、ボタン、スイッチおよびレバーなど、ユーザによって操作される装置である。入力装置915は、ユーザの音声を検出するマイクロフォンを含んでもよい。入力装置915は、例えば、赤外線やその他の電波を利用したリモートコントロール装置であってもよいし、情報処理装置10の操作に対応した携帯電話などの外部接続機器929であってもよい。入力装置915は、ユーザが入力した情報に基づいて入力信号を生成してCPU901に出力する入力制御回路を含む。ユーザは、この入力装置915を操作することによって、情報処理装置10に対して各種のデータを入力したり処理動作を指示したりする。また、後述する撮像装置933も、ユーザの手の動き、ユーザの指などを撮像することによって、入力装置として機能し得る。このとき、手の動きや指の向きに応じてポインティング位置が決定されてよい。
出力装置917は、取得した情報をユーザに対して視覚的または聴覚的に通知することが可能な装置で構成される。出力装置917は、例えば、LCD(Liquid Crystal Display)、PDP(Plasma Display Panel)、有機EL(Electro−Luminescence)ディスプレイ、プロジェクタなどの表示装置、ホログラムの表示装置、スピーカおよびヘッドホンなどの音出力装置、ならびにプリンタ装置などであり得る。出力装置917は、情報処理装置10の処理により得られた結果を、テキストまたは画像などの映像として出力したり、音声または音響などの音として出力したりする。また、出力装置917は、周囲を明るくするためライトなどを含んでもよい。
ストレージ装置919は、情報処理装置10の記憶部の一例として構成されたデータ格納用の装置である。ストレージ装置919は、例えば、HDD(Hard Disk Drive)などの磁気記憶部デバイス、半導体記憶デバイス、光記憶デバイス、または光磁気記憶デバイスなどにより構成される。このストレージ装置919は、CPU901が実行するプログラムや各種データ、および外部から取得した各種のデータなどを格納する。
ドライブ921は、磁気ディスク、光ディスク、光磁気ディスク、または半導体メモリなどのリムーバブル記録媒体927のためのリーダライタであり、情報処理装置10に内蔵、あるいは外付けされる。ドライブ921は、装着されているリムーバブル記録媒体927に記録されている情報を読み出して、RAM905に出力する。また、ドライブ921は、装着されているリムーバブル記録媒体927に記録を書き込む。
接続ポート923は、機器を情報処理装置10に直接接続するためのポートである。接続ポート923は、例えば、USB(Universal Serial Bus)ポート、IEEE1394ポート、SCSI(Small Computer System Interface)ポートなどであり得る。また、接続ポート923は、RS−232Cポート、光オーディオ端子、HDMI(登録商標)(High−Definition Multimedia Interface)ポートなどであってもよい。接続ポート923に外部接続機器929を接続することで、情報処理装置10と外部接続機器929との間で各種のデータが交換され得る。
通信装置925は、例えば、通信ネットワーク931に接続するための通信デバイスなどで構成された通信インターフェースである。通信装置925は、例えば、有線または無線LAN(Local Area Network)、Bluetooth(登録商標)、またはWUSB(Wireless USB)用の通信カードなどであり得る。また、通信装置925は、光通信用のルータ、ADSL(Asymmetric Digital Subscriber Line)用のルータ、または、各種通信用のモデムなどであってもよい。通信装置925は、例えば、インターネットや他の通信機器との間で、TCP/IPなどの所定のプロトコルを用いて信号などを送受信する。また、通信装置925に接続される通信ネットワーク931は、有線または無線によって接続されたネットワークであり、例えば、インターネット、家庭内LAN、赤外線通信、ラジオ波通信または衛星通信などである。
撮像装置933は、例えば、CCD(Charge Coupled Device)またはCMOS(Complementary Metal Oxide Semiconductor)などの撮像素子、および撮像素子への被写体像の結像を制御するためのレンズなどの各種の部材を用いて実空間を撮像し、撮像画像を生成する装置である。撮像装置933は、静止画を撮像するものであってもよいし、また動画を撮像するものであってもよい。
センサ935は、例えば、測距センサ、加速度センサ、ジャイロセンサ、地磁気センサ、振動センサ、光センサ、音センサなどの各種のセンサである。センサ935は、例えば情報処理装置10の筐体の姿勢など、情報処理装置10自体の状態に関する情報や、情報処理装置10の周辺の明るさや騒音など、情報処理装置10の周辺環境に関する情報を取得する。また、センサ935は、GPS(Global Positioning System)信号を受信して装置の緯度、経度および高度を測定するGPSセンサを含んでもよい。
<4.むすび>
以上説明したように、本開示の実施形態によれば、ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部312と、匿名情報に匿名情報を識別するための匿名IDを関連付ける処理実行部313と、を備え、処理実行部313は、リスク値が所定の閾値を超える場合、匿名情報に関連付けられる匿名IDを切り替える処理、および、匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行する、匿名情報サーバ30が提供される。かかる構成によれば、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくすることが可能となる。
また、ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部112と、匿名IDおよび匿名情報を匿名情報サーバ30に提供する匿名ID提供部113と、を備え、匿名ID生成部112は、匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、匿名情報に関連付けられる匿名IDを新たに生成する処理、および、匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行する、情報処理装置10が提供される。かかる構成によれば、匿名情報が漏洩した場合であっても、漏洩した匿名情報がどのユーザに関連するのかを特定しにくくすることが可能となる。
以上、添付図面を参照しながら本開示の好適な実施形態について詳細に説明したが、本開示の技術的範囲はかかる例に限定されない。本開示の技術分野における通常の知識を有する者であれば、請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本開示の技術的範囲に属するものと了解される。
例えば、上記した情報処理装置10の動作が実現されれば、各構成の位置は特に限定されない。具体的な一例として、制御部110が有する各ブロック(取得部111、匿名ID生成部112および匿名ID提供部113)の一部または全部は、サーバなどに存在していてもよい。このように、情報処理装置10はいわゆるクラウドコンピューティングによって達成され得る。
また、コンピュータに内蔵されるCPU、ROMおよびRAMなどのハードウェアを、上記した制御部110が有する機能と同等の機能を発揮させるためのプログラムも作成可能である。また、該プログラムを記録した、コンピュータに読み取り可能な記録媒体も提供され得る。
また、上記したマッピング鍵には、幾つかの種別があり得る。例えば、マッピング鍵として、複数のアプリケーションに共通の鍵(以下、「アプリ共通鍵」とも言う。)、ユーザに固有の鍵(以下、「ユーザ固有鍵」とも言う。)、情報処理装置10に固有の鍵(以下、「デバイス固有鍵」とも言う。)などが挙げられる。
マッピング鍵としてアプリ共通鍵が用いられる場合、ユーザIDに対してアプリ共通鍵による暗号化によって生成される仮名IDのユニーク性は保証される。しかし、マッピング鍵としてアプリ共通鍵が用いられる場合、デバイスから不正にアプリ共通鍵が抜き出されたり、任意の値の入力によってアプリ共通鍵による暗号化結果を得られたりしないようなデバイスのセキュリティ機構が必要となる。かかるセキュリティ機構の実現のため、ハードウェア的に安全なデバイスが用意されてもよいし、難読化されたソフトウェアに安全にアプリ共通鍵が埋め込まれてもよい。
マッピング鍵としてユーザ固有鍵が用いられる場合、ユーザIDに対してユーザ固有鍵による暗号化によって生成される仮名IDのユニーク性は保証されない。そのため、複数の仮名ID同士が衝突した場合においてユーザ固有鍵の再生成などが必要となる。しかし、マッピング鍵としてユーザ固有鍵が用いられる場合、攻撃者は、たかだか自分の鍵しか知り得ないため、デバイスに求められるセキュリティは、マッピング鍵としてアプリ共通鍵が用いられる場合ほど高くないと考えられる。また、デバイスの買い替え時などに複数のデバイス間でデータを引き継ぐためには、ユーザ固有鍵の安全なバックアップ・リストア機能が必要である。なお、ユーザ固有鍵は、サーバからダウンロードされてもよいし、デバイス内部で一定の乱数性を有するように生成されてもよい。
マッピング鍵としてデバイス固有鍵が用いられる場合、マッピング鍵としてユーザ固有鍵が用いられる場合と同様に、ユーザIDに対してデバイス固有鍵による暗号化によって生成される仮名IDのユニーク性は保証されない。そのため、複数の仮名ID同士が衝突した場合においてデバイス固有鍵の再生成などが必要となる。また、マッピング鍵としてデバイス固有鍵が用いられる場合、デバイスに求められるセキュリティは、マッピング鍵としてユーザ固有鍵が用いられる場合と同様であると考えられる。なお、デバイス固有鍵は、他のデバイスとの間でデータ共有がされない場合に適用される。
また、本明細書に記載された効果は、あくまで説明的または例示的なものであって限定的ではない。つまり、本開示に係る技術は、上記の効果とともに、または上記の効果に代えて、本明細書の記載から当業者には明らかな他の効果を奏し得る。
なお、以下のような構成も本開示の技術的範囲に属する。
(1)
ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、
前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、
前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行する、
サーバ装置。
(2)
前記処理実行部は、情報処理装置からユーザIDの暗号化データが取得された場合、前記暗号化データに第1の識別データを関連付け、前記情報処理装置から第1の匿名情報と前記第1の識別データに応じた第1の匿名IDとが取得された場合、前記第1の匿名IDを前記第1の匿名情報に関連付ける、
前記(1)に記載のサーバ装置。
(3)
前記リスク値取得部は、前記情報処理装置から前記第1の匿名IDおよび第2の匿名情報が取得された場合、前記第2の匿名情報が漏洩した場合におけるリスク値を取得し、
前記処理実行部は、前記リスク値が前記閾値を超える場合、前記暗号化データに第2の識別データを関連付け、前記情報処理装置から前記第2の識別データに応じた第2の匿名IDが取得された場合、前記第2の匿名IDを前記第2の匿名情報に関連付ける、
前記(2)に記載のサーバ装置。
(4)
前記処理実行部は、前記リスク値が前記閾値を超えない場合、前記第1の匿名IDを前記第2の匿名情報に関連付ける、
前記(3)に記載のサーバ装置。
(5)
前記処理実行部は、前記情報処理装置から前記暗号化データが再度取得された場合、前記暗号化データに関連付けられている前記第1の識別データを前記情報処理装置に提供し、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDが取得された場合、前記第1の匿名IDに関連付けられた前記第1の匿名情報に関する所定の動作を実行する、
前記(2)〜(4)のいずれか一項に記載のサーバ装置。
(6)
前記処理実行部は、情報処理装置から前記匿名情報およびユーザIDの暗号化データが取得された場合、前記暗号化データに対して第1の識別データを関連付け、前記リスク値が前記閾値を超える場合、前記暗号化データに対して第2の識別データを関連付け、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDおよび前記第2の識別データに応じた第2の匿名IDが取得された場合、第1の分割情報に対して前記第1の匿名IDを関連付け、第2の分割情報に対して前記第2の匿名IDを関連付ける、
前記(1)に記載のサーバ装置。
(7)
前記処理実行部は、前記リスク値が前記閾値を超えない場合、前記情報処理装置に前記第1の識別データを提供し、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDが取得された場合、前記匿名情報に対して前記第1の匿名IDを関連付ける、
前記(6)に記載のサーバ装置。
(8)
前記リスク値取得部は、前記匿名情報および前記匿名情報に関連する情報の少なくともいずれか一方に基づいて、前記リスク値を取得する、
前記(1)〜(7)のいずれか一項に記載のサーバ装置。
(9)
ユーザの匿名情報が漏洩した場合におけるリスク値を取得することと、
前記匿名情報に前記匿名情報を識別するための匿名IDを関連付けることと、を含み、
前記リスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行することを含む、
情報管理方法。
(10)
コンピュータを、
ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、
前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、
前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行する、
サーバ装置として機能させるためのプログラム。
(11)
ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、
前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、
前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行する、
情報処理装置。
(12)
前記匿名ID生成部は、前記ユーザIDの暗号化データを前記サーバ装置に提供し、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
前記匿名ID提供部は、前記第1の匿名IDおよび第1の匿名情報を前記サーバ装置に提供する、
前記(11)に記載の情報処理装置。
(13)
前記匿名ID生成部は、前記第1の匿名IDおよび第2の匿名情報を前記サーバ装置に提供し、前記第2の匿名情報が漏洩した場合におけるリスク値が閾値を超える場合、前記サーバ装置から前記暗号化データに関連付けられた第2の識別データを取得し、前記第2の識別データに応じた第2の匿名IDを生成し、
前記匿名ID提供部は、前記第2の匿名IDを前記サーバ装置に提供する、
前記(12)に記載の情報処理装置。
(14)
前記匿名ID生成部は、前記第2の匿名情報が漏洩した場合におけるリスク値が閾値を超えない場合、前記第1の匿名IDを前記サーバ装置に提供する、
前記(13)に記載の情報処理装置。
(15)
前記匿名ID生成部は、前記暗号化データを前記サーバ装置に再度提供し、前記サーバ装置から前記暗号化データに関連付けられている前記第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
前記匿名ID提供部は、前記第1の匿名IDを前記サーバ装置に提供する、
前記(12)〜(14)のいずれか一項に記載の情報処理装置。
(16)
前記匿名ID生成部は、前記匿名情報およびユーザIDの暗号化データを前記サーバ装置に提供し、前記匿名情報が漏洩した場合におけるリスク値が閾値を超える場合、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データおよび第2の識別データを取得し、前記第1の識別データに応じた第1の匿名IDおよび前記第2の識別データに応じた第2の匿名IDを生成し、
前記匿名ID提供部は、前記第1の匿名IDおよび前記第2の匿名IDを前記サーバ装置に提供する、
前記(11)に記載の情報処理装置。
(17)
前記匿名ID生成部は、前記匿名情報および前記暗号化データを前記サーバ装置に提供し、前記リスク値が前記閾値を超えない場合、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
前記匿名ID提供部は、前記第1の匿名IDを前記サーバ装置に提供する、
前記(16)に記載の情報処理装置。
(18)
前記リスク値は、前記匿名情報および前記匿名情報に関連する情報の少なくともいずれか一方に基づいて、前記サーバ装置によって取得される、
前記(11)〜(17)のいずれか一項に記載の情報処理装置。
(19)
ユーザの匿名情報を識別するための匿名IDを生成することと、
前記匿名IDおよび前記匿名情報をサーバ装置に提供することと、を含み、
前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行することを含む、
情報処理方法。
(20)
コンピュータを、
ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、
前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、
前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行する、
情報処理装置として機能させるためのプログラム。
1 情報処理システム
10 情報処理装置
110 制御部
111 取得部
112 匿名ID生成部
113 匿名ID提供部
120 検出部
130 入力部
140 通信部
150 記憶部
151 マッピング鍵
152 匿名ID鍵
160 出力部
20 実名情報サーバ
210 制御部
240 通信部
250 記憶部
30 匿名情報サーバ
310 制御部
311 データ取得部
312 リスク値取得部
313 処理実行部
340 通信部
350 記憶部

Claims (18)

  1. ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、
    前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、
    前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行し、さらに、
    情報処理装置からユーザIDの暗号化データが取得された場合、前記暗号化データに第1の識別データを関連付け、前記情報処理装置から第1の匿名情報と前記第1の識別データに応じた第1の匿名IDとが取得された場合、前記第1の匿名IDを前記第1の匿名情報に関連付ける、
    サーバ装置。
  2. 前記リスク値取得部は、前記情報処理装置から前記第1の匿名IDおよび第2の匿名情報が取得された場合、前記第2の匿名情報が漏洩した場合におけるリスク値を取得し、
    前記処理実行部は、前記リスク値が前記閾値を超える場合、前記暗号化データに第2の識別データを関連付け、前記情報処理装置から前記第2の識別データに応じた第2の匿名IDが取得された場合、前記第2の匿名IDを前記第2の匿名情報に関連付ける、
    請求項に記載のサーバ装置。
  3. 前記処理実行部は、前記リスク値が前記閾値を超えない場合、前記第1の匿名IDを前記第2の匿名情報に関連付ける、
    請求項に記載のサーバ装置。
  4. 前記処理実行部は、前記情報処理装置から前記暗号化データが再度取得された場合、前記暗号化データに関連付けられている前記第1の識別データを前記情報処理装置に提供し、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDが取得された場合、前記第1の匿名IDに関連付けられた前記第1の匿名情報に関する所定の動作を実行する、
    請求項に記載のサーバ装置。
  5. 前記処理実行部は、前記情報処理装置から前記匿名情報および前記ユーザIDの暗号化データが取得された場合、前記暗号化データに対して第1の識別データを関連付け、前記リスク値が前記閾値を超える場合、前記暗号化データに対して第2の識別データを関連付け、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDおよび前記第2の識別データに応じた第2の匿名IDが取得された場合、第1の分割情報に対して前記第1の匿名IDを関連付け、第2の分割情報に対して前記第2の匿名IDを関連付ける、
    請求項1に記載のサーバ装置。
  6. 前記処理実行部は、前記リスク値が前記閾値を超えない場合、前記情報処理装置に前記第1の識別データを提供し、前記情報処理装置から前記第1の識別データに応じた第1の匿名IDが取得された場合、前記匿名情報に対して前記第1の匿名IDを関連付ける、
    請求項に記載のサーバ装置。
  7. 前記リスク値取得部は、前記匿名情報および前記匿名情報に関連する情報の少なくともいずれか一方に基づいて、前記リスク値を取得する、
    請求項1に記載のサーバ装置。
  8. ユーザの匿名情報が漏洩した場合におけるリスク値を取得することと、
    前記匿名情報に前記匿名情報を識別するための匿名IDを関連付けることと、を含み、
    前記リスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行し、さらに、
    情報処理装置からユーザIDの暗号化データが取得された場合、前記暗号化データに第1の識別データを関連付け、前記情報処理装置から第1の匿名情報と前記第1の識別データに応じた第1の匿名IDとが取得された場合、前記第1の匿名IDを前記第1の匿名情報に関連付けることを含む、
    情報管理方法。
  9. コンピュータを、
    ユーザの匿名情報が漏洩した場合におけるリスク値を取得するリスク値取得部と、
    前記匿名情報に前記匿名情報を識別するための匿名IDを関連付ける処理実行部と、を備え、
    前記処理実行部は、前記リスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを切り替える処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを異ならせる処理の少なくともいずれか一方を実行し、さらに、
    情報処理装置からユーザIDの暗号化データが取得された場合、前記暗号化データに第1の識別データを関連付け、前記情報処理装置から第1の匿名情報と前記第1の識別データに応じた第1の匿名IDとが取得された場合、前記第1の匿名IDを前記第1の匿名情報に関連付ける、
    サーバ装置として機能させるためのプログラム。
  10. ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、
    前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、
    前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行し、さらに、
    ユーザIDの暗号化データを前記サーバ装置に提供し、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
    前記匿名ID提供部は、前記第1の匿名IDおよび第1の匿名情報を前記サーバ装置に提供する、
    情報処理装置。
  11. 前記匿名ID生成部は、前記第1の匿名IDおよび第2の匿名情報を前記サーバ装置に提供し、前記第2の匿名情報が漏洩した場合におけるリスク値が閾値を超える場合、前記サーバ装置から前記暗号化データに関連付けられた第2の識別データを取得し、前記第2の識別データに応じた第2の匿名IDを生成し、
    前記匿名ID提供部は、前記第2の匿名IDを前記サーバ装置に提供する、
    請求項10に記載の情報処理装置。
  12. 前記匿名ID生成部は、前記第2の匿名情報が漏洩した場合におけるリスク値が閾値を超えない場合、前記第1の匿名IDを前記サーバ装置に提供する、
    請求項11に記載の情報処理装置。
  13. 前記匿名ID生成部は、前記暗号化データを前記サーバ装置に再度提供し、前記サーバ装置から前記暗号化データに関連付けられている前記第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
    前記匿名ID提供部は、前記第1の匿名IDを前記サーバ装置に提供する、
    請求項10に記載の情報処理装置。
  14. 前記匿名ID生成部は、前記匿名情報および前記ユーザIDの暗号化データを前記サーバ装置に提供し、前記匿名情報が漏洩した場合におけるリスク値が閾値を超える場合、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データおよび第2の識別データを取得し、前記第1の識別データに応じた第1の匿名IDおよび前記第2の識別データに応じた第2の匿名IDを生成し、
    前記匿名ID提供部は、前記第1の匿名IDおよび前記第2の匿名IDを前記サーバ装置に提供する、
    請求項10に記載の情報処理装置。
  15. 前記匿名ID生成部は、前記匿名情報および前記暗号化データを前記サーバ装置に提供し、前記リスク値が前記閾値を超えない場合、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
    前記匿名ID提供部は、前記第1の匿名IDを前記サーバ装置に提供する、
    請求項14に記載の情報処理装置。
  16. 前記リスク値は、前記匿名情報および前記匿名情報に関連する情報の少なくともいずれか一方に基づいて、前記サーバ装置によって取得される、
    請求項10に記載の情報処理装置。
  17. ユーザの匿名情報を識別するための匿名IDを生成することと、
    前記匿名IDおよび前記匿名情報をサーバ装置に提供することと、を含み、
    前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、プロセッサにより、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行し、さらに、
    ユーザIDの暗号化データを前記サーバ装置に提供し、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
    前記第1の匿名IDおよび第1の匿名情報を前記サーバ装置に提供することを含む、
    情報処理方法。
  18. コンピュータを、
    ユーザの匿名情報を識別するための匿名IDを生成する匿名ID生成部と、
    前記匿名IDおよび前記匿名情報をサーバ装置に提供する匿名ID提供部と、を備え、
    前記匿名ID生成部は、前記匿名情報が漏洩した場合におけるリスク値が所定の閾値を超える場合、前記匿名情報に関連付けられる匿名IDを新たに生成する処理、および、前記匿名情報の分割によって得られる複数の分割情報それぞれに対して関連付けられる匿名IDを生成する処理の少なくともいずれか一方を実行し、さらに、
    ユーザIDの暗号化データを前記サーバ装置に提供し、前記サーバ装置から前記暗号化データに関連付けられた第1の識別データを取得し、前記第1の識別データに応じた第1の匿名IDを生成し、
    前記匿名ID提供部は、前記第1の匿名IDおよび第1の匿名情報を前記サーバ装置に提供する、
    情報処理装置として機能させるためのプログラム。
JP2018558827A 2016-12-28 2017-10-05 サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム Active JP6943260B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016254850 2016-12-28
JP2016254850 2016-12-28
PCT/JP2017/036291 WO2018123190A1 (ja) 2016-12-28 2017-10-05 サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2018123190A1 JPWO2018123190A1 (ja) 2019-10-31
JP6943260B2 true JP6943260B2 (ja) 2021-09-29

Family

ID=62707142

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018558827A Active JP6943260B2 (ja) 2016-12-28 2017-10-05 サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム

Country Status (4)

Country Link
US (1) US11194931B2 (ja)
JP (1) JP6943260B2 (ja)
CN (1) CN110088758B (ja)
WO (1) WO2018123190A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HU231270B1 (hu) * 2016-02-18 2022-07-28 Xtendr Zrt. Adatkezelő eljárás és regisztrációs eljárás anonim adatmegosztó rendszerhez, valamint adatkezelő és azt tartalmazó anonim adatmegosztó rendszer
WO2020246022A1 (ja) * 2019-06-07 2020-12-10 三菱電機株式会社 識別子切り替え装置、識別子切り替えプログラム及び識別子切り替え方法
IL280116A (en) 2021-01-12 2022-08-01 Google Llc Secure network communication that restricts information

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4015919B2 (ja) * 2002-10-22 2007-11-28 株式会社東芝 情報共有支援装置および情報共有支援方法
US7747491B2 (en) * 2004-11-19 2010-06-29 Panasonic Corporation Anonymous information system, information registering device and information storing device
WO2007130855A2 (en) * 2006-05-01 2007-11-15 Michael Pomerantsev Secure sharing of personal information
KR100953092B1 (ko) * 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
US8316054B2 (en) * 2008-09-22 2012-11-20 University Of Ottawa Re-identification risk in de-identified databases containing personal information
US20100088753A1 (en) * 2008-10-03 2010-04-08 Microsoft Corporation Identity and authentication system using aliases
KR20100066169A (ko) * 2008-12-09 2010-06-17 한국전자통신연구원 익명 인증을 이용한 개인 정보 관리 시스템 및 방법
CA2734545A1 (en) * 2010-03-19 2011-09-19 University Of Ottawa A system and method for evaluating marketer re-identification risk
JP5796574B2 (ja) * 2010-05-10 2015-10-21 日本電気株式会社 情報処理装置、制御方法及びプログラム
CA2821438A1 (en) 2010-12-27 2012-07-05 Nec Corporation Information protection device and information protection method
US9405787B2 (en) * 2011-06-02 2016-08-02 Nec Corporation Distributed anonymization system, distributed anonymization device, and distributed anonymization method
CN106254386B (zh) * 2011-09-20 2019-07-05 中兴通讯股份有限公司 一种信息处理方法和名字映射服务器
JP5848960B2 (ja) 2011-11-21 2016-01-27 株式会社日立製作所 情報管理システム
JP2014026305A (ja) * 2012-07-24 2014-02-06 Mitsubishi Electric Corp データ処理装置及びデータベースシステム及びデータ処理方法及びプログラム
JP5971115B2 (ja) * 2012-12-26 2016-08-17 富士通株式会社 情報処理プログラム、情報処理方法及び装置
TW201426578A (zh) * 2012-12-27 2014-07-01 Ind Tech Res Inst 匿名資料集的產生方法及裝置與風險評估方法及裝置
JP6214167B2 (ja) * 2013-02-08 2017-10-18 富士通クラウドテクノロジーズ株式会社 情報処理システム、情報処理方法、及び情報処理プログラム
JP6042229B2 (ja) * 2013-02-25 2016-12-14 株式会社日立システムズ k−匿名データベース制御サーバおよび制御方法
CA2848270A1 (en) * 2013-04-03 2014-10-03 Blackhawk Network, Inc. Electronic financial service risk evaluation
US9514161B2 (en) * 2013-04-25 2016-12-06 International Business Machines Corporation Guaranteeing anonymity of linked data graphs
US9460311B2 (en) * 2013-06-26 2016-10-04 Sap Se Method and system for on-the-fly anonymization on in-memory databases
US9332081B2 (en) * 2013-08-30 2016-05-03 Google Inc. Anonymous cross-device linking using temporal identifiers
US9619669B2 (en) * 2013-11-01 2017-04-11 Anonos Inc. Systems and methods for anonosizing data
KR102144509B1 (ko) * 2014-03-06 2020-08-14 삼성전자주식회사 근접 통신 방법 및 장치
US8862679B1 (en) * 2014-04-18 2014-10-14 Secret, Inc. Displaying comments on a secret in an anonymous social networking application
CA2951632A1 (en) * 2014-06-09 2015-12-17 Anthony Wright Patient status notification
CN104836789B (zh) * 2015-03-20 2017-12-22 湖南科技大学 一种基于空间区域匿名的位置隐私保护方案
US11088834B2 (en) * 2015-04-28 2021-08-10 Palo Alto Research Center Incorporated System for privacy-preserving monetization of big data and method for using the same
US10623411B2 (en) * 2015-09-17 2020-04-14 Sony Corporation Information processing device, information processing method, and mapping server
US10242213B2 (en) * 2015-09-21 2019-03-26 Privacy Analytics Inc. Asymmetric journalist risk model of data re-identification
US10210518B2 (en) * 2016-04-13 2019-02-19 Abdullah Abdulaziz I. Alnajem Risk-link authentication for optimizing decisions of multi-factor authentications

Also Published As

Publication number Publication date
US20190325160A1 (en) 2019-10-24
CN110088758B (zh) 2023-04-07
CN110088758A (zh) 2019-08-02
US11194931B2 (en) 2021-12-07
JPWO2018123190A1 (ja) 2019-10-31
WO2018123190A1 (ja) 2018-07-05

Similar Documents

Publication Publication Date Title
US11682278B2 (en) Data-secure sensor system
US11323446B2 (en) Information processing device, information processing method, and mapping server
US11140171B1 (en) Establishing and verifying identity using action sequences while protecting user privacy
EP3362970A1 (en) Blockchain-based identity and transaction platform
US20150381624A1 (en) Methods, systems, and computer readable media for combating device theft with user notarization
US10097666B2 (en) Accessing a service using an encrypted token
JP6943260B2 (ja) サーバ装置、情報管理方法、情報処理装置、情報処理方法およびプログラム
EP3937040B1 (en) Systems and methods for securing login access
EP3080743A1 (en) User authentication for mobile devices using behavioral analysis
JP2015194947A (ja) 情報処理装置及びコンピュータプログラム
KR20120042684A (ko) 지문 정보를 통한 데이터 송/수신 장치 및 시스템
JP2018147327A (ja) 生成装置、生成方法及び生成プログラム
US20190312966A1 (en) Methods and systems for facilitating automated contact with emergency services in case of an emergency
US10831922B1 (en) System and method for access control
US20150264048A1 (en) Information processing apparatus, information processing method, and recording medium
CN110781488B (zh) 密码提示方法和终端设备
KR20200120156A (ko) 전자 장치 및 전자 장치에서 의료 정보 공유 방법
US20210357657A1 (en) Methods, systems, apparatuses, and devices for facilitating managing incidents occurring in areas monitored by low data-rate monitoring devices using the low data-rate monitoring devices
JP2018147326A (ja) 生成装置、生成方法及び生成プログラム
KR20220081980A (ko) 정보 처리 시스템, 정보 처리 방법, 프로그램, 유저 인터페이스
JPWO2019142477A1 (ja) 情報処理装置、情報処理方法、ユーザ端末、サービス提供装置およびサービス提供方法
KR20130086194A (ko) 지문 정보를 통한 데이터 송/수신 장치 및 시스템
US11736940B2 (en) L8p8 secure transmission system and method
WO2020129763A1 (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200720

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210615

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210823

R151 Written notification of patent or utility model registration

Ref document number: 6943260

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151