JP7121276B2 - データ管理レベル判定プログラム、およびデータ管理レベル判定方法 - Google Patents

データ管理レベル判定プログラム、およびデータ管理レベル判定方法 Download PDF

Info

Publication number
JP7121276B2
JP7121276B2 JP2018174728A JP2018174728A JP7121276B2 JP 7121276 B2 JP7121276 B2 JP 7121276B2 JP 2018174728 A JP2018174728 A JP 2018174728A JP 2018174728 A JP2018174728 A JP 2018174728A JP 7121276 B2 JP7121276 B2 JP 7121276B2
Authority
JP
Japan
Prior art keywords
data
management level
item
information
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018174728A
Other languages
English (en)
Other versions
JP2020046920A (ja
Inventor
聡一 繁田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018174728A priority Critical patent/JP7121276B2/ja
Priority to US16/553,293 priority patent/US11429747B2/en
Publication of JP2020046920A publication Critical patent/JP2020046920A/ja
Application granted granted Critical
Publication of JP7121276B2 publication Critical patent/JP7121276B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/08Insurance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/22Social work or social welfare, e.g. community support activities or counselling services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • Bioethics (AREA)
  • Development Economics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Medical Informatics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Tourism & Hospitality (AREA)
  • Technology Law (AREA)
  • Game Theory and Decision Science (AREA)
  • Child & Adolescent Psychology (AREA)
  • Human Resources & Organizations (AREA)
  • Primary Health Care (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データ管理レベル判定プログラム、およびデータ管理レベル判定方法に関する。
企業などの様々な機関のコンピュータシステムでは、個人情報を取り扱う場合がある。多くの国では、本人の同意なしに、本来の目的以外の用途で個人情報を利用することは、法律で禁止されている。なお、個人情報から算出した統計情報であれば、より広い用途で利用することが可能である。
また、個人情報を匿名加工して利用することも考えられる。匿名加工は、個人を識別することができないように、個人情報を修正することである。匿名加工では、例えば、個人情報から、提供者の氏名や生年月日の情報が削除される。匿名加工後の情報(匿名加工情報)であれば、本人の同意なしに、様々な目的で利用可能である。
個人情報を含むネットワーク上の大量のデータは、データ流通基盤を介して有効利用することができる。データ流通基盤では、例えば、サーバがネットワークを介してデータを収集し、収集したデータの一部または収集したデータから得られる統計情報を、ユーザに提供する。この場合、サーバがネットワークを介して収集したデータには、個人情報や匿名加工情報に加え、統計情報、オープンデータなども含まれる。オープンデータは、公衆に公開されたデータである。
ネットワークからデータを収集したサーバは、取り扱うデータについて、その種類に応じた適切なレベルの情報保護対策を施して管理する。サーバは、個人情報については、例えばアクセス可能なユーザの制限などにより、特に厳重に管理する。またサーバは、匿名加工情報については、例えば法律で禁止されている使い方をしないように管理する。さらにサーバは、統計情報については、例えば不特定多数に公開しないように管理する。オープンデータについては、公開されているデータなので、サーバは特別な管理を行わない。このようにデータの保護対策として、保護の強度が異なる複数の管理レベルが用意されており、サーバは、種類が判明しているデータを、そのデータの種類に応じた適切な管理レベルで保護する。
保護対象の情報の取り扱いに関する技術としては、例えば提供する情報を保護すると共に、情報を提供することによって得られるサービスを増加させるプライバシー保護装置がある。また匿名化のために属性を自動的に識別するコンピュータ実装システムもある。さらに、プライバシー保護機能の制御機能をもつデータベース内にデータを格納し、そのデータベースからデータを取り出す方法も考えられている。
特開2017-151942号公報 特開2017-91515号公報 特開2000-293421号公報
データ流通基盤のサーバが収集したデータには、どのような管理レベルの情報保護を行えばよいのかが不明なものが多い。例えば収集したデータの中には、データの提供元において、個人情報であるといった種類が示されたデータも存在するが、すべてのデータにそのような種類が示されているわけではない。しかも、元のデータから何らかの加工が加えられたデータについては、加工後のデータがどのような種類となるのかを、加工者自身も把握できていない場合もある。そのため、ネットワークを介して大量のデータを収集した場合、収集したデータについて、その種類に応じた適切な情報保護を行うための管理レベルの判別が困難となっている。
1つの側面では、本件は、情報保護のための管理レベルの自動判定を可能とすることを目的とする。
1つの案では、以下の処理をコンピュータに実行させるデータ管理レベル判定プログラムが提供される。
コンピュータは、ネットワークを介して接続された装置から、1または複数の項目の少なくとも一部に値が設定されたデータを取得する。次にコンピュータは、データの1または複数の項目それぞれの項目名、および1または複数の項目それぞれへの値の設定の有無に基づいて、情報保護の対策強度が異なる複数の管理レベルのうち、データに適用する管理レベルを判定する。そしてコンピュータは、データに適用する管理レベルを示す管理情報と関連付けて、データを記憶部に格納する。また、データの管理レベルの判定では、1または複数の項目それぞれの項目名に、個人を特定可能な値を設定する個人属性項目の項目名が含まれており、個人属性項目に値が設定されている場合、データの管理レベルを、個人情報用の管理レベルと判定し、1または複数の項目それぞれの項目名に、個人属性項目の項目名が含まれており、個人属性項目に値が設定されていない場合、データの管理レベルを、個人情報に匿名加工を行った匿名加工情報用の管理レベルと判定し、データに複数のレコードが含まれており、1または複数の項目に第1項目と第2項目とが含まれており、同一レコード内の第1項目の値と第2項目の値との組のうち、複数のレコードのうちの所定数以下のレコードにのみ存在する組がある場合、データの管理レベルを、個人情報用の管理レベルと判定する。
1態様によれば、情報保護のための管理レベルの自動判定が可能となる。
第1の実施の形態に係るデータ管理レベル判定方法の一例を示す図である。 第2の実施の形態に係るシステムの一例を示す図である。 サーバのハードウェアの一構成例を示す図である。 データ流通基盤のサーバが実現する機能を示すブロック図である。 データ提供者情報の一例を示す図である。 法人契約管理テーブルの一例を示す図である。 ユーザ管理テーブルの一例を示す図である。 オープンデータカタログサイト管理テーブルの一例を示す図である。 組み合わせパターン辞書の一例を示す図である。 データ管理情報記憶部内のデータ管理情報の一例を示す図である。 データ取得時のデータ管理レベル判定処理の手順の一例を示すフローチャートである。 項目の組み合わせによる個人特定の可能性判定処理の手順の一例を示すフローチャートである。 管理レベルの第1の判定例を示す図である。 管理レベルの第2の判定例を示す図である。 管理レベルの第3の判定例を示す図である。 管理レベルの第4の判定例を示す図である。 管理レベルの第5の判定例を示す図である。 管理レベルの第6の判定例を示す図である。 管理レベルの第7の判定例を示す図である。 管理レベルの第8の判定例を示す図である。 管理レベルの第9の判定例を示す図である。 管理レベルの第10の判定例を示す図である。 検索画面の一例を示す図である。 データ加工要求画面の一例を示す図である。 加工データの管理レベル判定処理の手順の一例を示すフローチャートである。 加工データの管理レベル判定処理の第1の例を示す図である。 加工データの管理レベル判定処理の第2の例を示す図である。
以下、本実施の形態について図面を参照して説明する。なお各実施の形態は、矛盾のない範囲で複数の実施の形態を組み合わせて実施することができる。
〔第1の実施の形態〕
図1は、第1の実施の形態に係るデータ管理レベル判定方法の一例を示す図である。図1には、データ管理レベル判定方法をコンピュータ10により実施した場合の例を示している。コンピュータ10は、例えばデータ管理レベル判定方法の処理手順が記述されたデータ管理レベル判定プログラムを実行することにより、データ管理レベル判定方法を実施することができる。
コンピュータ10は、データ管理レベル判定方法を実施するために、記憶部11と処理部12とを有する。記憶部11は、例えばコンピュータ10が有するメモリまたはストレージ装置である。処理部12は、例えばコンピュータ10が有するプロセッサまたは演算回路である。
コンピュータ10の処理部12は、データ管理レベル判定プログラムに基づいて、以下の処理を実行する。
処理部12は、まずネットワークを介して接続された装置1a~1cから、1または複数の項目の少なくとも一部に値が設定されたデータ2a~2dを取得する。次に処理部12は、取得したデータ2a~2dの1または複数の項目それぞれの項目名、および1または複数の項目それぞれへの値の設定の有無に基づいて、複数の管理レベルのうち、取得したデータ2a~2dに適用する管理レベルを判定する。
複数の管理レベルは、情報保護の対策強度が異なっている。情報保護の対策強度が最も高い管理レベルは、個人情報用の管理レベルである。個人情報用の管理レベルで管理されるデータは、そのデータの提供者の意に反してデータが外部に漏れないように厳重に管理される。情報保護の対策強度が次に高いのは、例えば匿名加工情報用の管理レベルである。匿名加工情報は、個人情報に対して個人を特定できないように加工を施したデータである。匿名加工情報用の管理レベルで管理されるデータは、例えば法律により予め定められた用途以外の用途で使用されないように使用目的が管理される。情報保護の対策強度が次に高いのは、例えば統計情報用の管理レベルである。統計情報用の管理レベルで管理されるデータは、例えばデータ利用者として予め登録した者にのみ開示するなど、一定の制限の範囲内で公開される。情報保護の対策強度が最も低いのは、例えばオープンデータ用の管理レベルである。オープンデータ用の管理レベルで管理されるデータは、例えばネットワークを介してコンピュータ10にアクセス可能なすべてのユーザに公開される。
なお「個人情報」、「匿名加工情報」、「統計情報」、「オープンデータ」以外のデータ用の管理レベルも設定可能である。例えば個人を特定可能な情報を含まないが「匿名加工情報」、「統計情報」、「オープンデータ」のいずれにも該当しないデータを「個人情報を含まない非統計情報」とし、そのようなデータ用の管理レベルを設定してもよい。
取得したデータ2a~2dの管理レベルを判定後、データに適用する管理レベルを示す管理情報3a~3dと関連付けて、データ2a~2dを記憶部11に格納する。
このようにして、取得したデータ2a~2dの管理レベルが自動で判定され、データ2a~2dは、管理レベルを示す管理情報3a~3dと関連付けて保持される。データ2a~2dが管理情報3a~3dと関連付けられているため、処理部12は、データ2a~2dを利用する際に、関連付けられた管理情報3a~3dを参照して管理レベルを認識し、管理レベルに従った情報保護対策の下でデータを利用することができる。
処理部12によるデータ2a~2dの管理レベルの判定は、例えば以下のように行われる。
処理部12は、例えば1または複数の項目それぞれの項目名に、個人を特定可能な値を設定する個人属性項目の項目名が含まれており、個人属性項目に値が設定されている場合、データ2a~2dの管理レベルを、個人情報用の管理レベルと判定する。図1の例では、装置1aからクレジットカード利用履歴を示すデータ2aを取得しており、データ2aには、個人属性項目の項目名「カード名義」が含まれている。しかもデータ2aの「カード名義」の項目には、カード名義人の名前が値として設定されている。そのため処理部12は、データ2aに適用する管理レベルを、個人情報用の管理レベルと判定し、管理レベル「個人情報」を示す管理情報3aに関連付けて、データ2aを記憶部11に格納する。
また処理部12は、例えば1または複数の項目それぞれの項目名に、個人属性項目の項目名が含まれており、個人属性項目に値が設定されていない場合、データ2a~2dの管理レベルを、匿名加工情報用の管理レベルと判定する。図1の例では、装置1aからクレジットカード利用履歴を示すデータ2bを取得しており、データ2bには、個人属性項目の項目名「カード名義」が含まれているが、「カード名義」の項目には値が設定されていない。そのため処理部12は、データ2bに適用する管理レベルを、匿名加工情報用の管理レベルと判定し、管理レベル「匿名加工情報」を示す管理情報3bに関連付けて、データ2bを記憶部11に格納する。
またデータ2a~2dに複数のレコードが含まれており、1または複数の項目に第1項目と第2項目とが含まれている場合がある。この場合、処理部12は、同一レコード内の第1項目の値と第2項目の値との組のうち、複数のレコードのうちの所定数以下のレコードにのみ存在する組があるか否かを判断する。所定数以下のレコードにのみ存在する値の組が存在する場合、処理部12は、データ2a~2dの管理レベルを個人情報用の管理レベルと判定する。
また処理部12は、1または複数の項目が統計対象を示す項目または統計値の名称を示す項目の場合、データ2a~2dの管理レベルを統計情報用の管理レベルと判定する。図1の例では、装置1bから取得したデータ2cに含まれる項目は、統計対象の名称「病名」を示す項目と、その統計対象の統計値の名称「合計人数」、「平均年齢」を示す項目のみである。そのため、処理部12は、データ2cに適用する管理レベルを、統計情報用の管理レベルと判定し、管理レベル「統計情報」を示す管理情報3cに関連付けて、データ2cを記憶部11に格納する。
コンピュータ10は、記憶部11に、予め制限なしに使用可能なオープンデータの格納場所を示すオープンデータ位置情報4(例えば、サイト名とネットワークアドレス)を格納しておくことができる。この場合、処理部12は、オープンデータ位置情報4とネットワーク上でのデータ2a~2dの取得元の位置情報とを比較する。処理部12は、データ2a~2dの取得元の位置情報がオープンデータの格納場所に含まれる場合、データ2a~2dの管理レベルをオープンデータ用の管理レベルと判定する。図1の例では、オープンデータ位置情報4として、例えばサイト名「A市カタログサイト」の位置が示されている。「A市カタログサイト」に対応する位置にあるのは、装置1c内のコンテンツの格納領域である。処理部12は、「A市カタログサイト」に対応する位置からデータ2dを取得すると、オープンデータ位置情報4に基づいて、データ2dが「A市カタログサイト」から取得したデータであると認識する。そして処理部12は、データ2dに適用する管理レベルを、オープンデータ用の管理レベルと判定し、管理レベル「オープンデータ」を示す管理情報3dに関連付けて、データ2dを記憶部11に格納する。
なお処理部12は、記憶部11に格納したデータ2a~2dを提供する際には、管理情報3a~3dに基づいて、データ2a~2dに適用する管理レベルを指定することができる。例えば処理部12は、検索条件を指定したデータ検索要求に応じて、記憶部11に対するデータ検索を行う。そして処理部12は、検索条件に合致する該当データの名称と管理レベルとを示す検索結果を出力する。
また処理部12は、記憶部11に格納したデータ2a~2dを加工し、加工後の加工データを提供する際には、加工データに適用する管理レベルを指定することができる。例えば処理部12は、記憶部11に格納されたいずれかのデータの加工を要求するデータ加工要求に応じてデータを加工する。処理部12は、加工元となったデータの管理レベルと加工内容とに基づいて、加工データの管理レベルを判定する。例えば処理部12は、加工元のデータの管理レベルのうちの情報保護の対策強度が最も高い管理レベルを、加工データの管理レベルとする。そして処理部12は、加工データの管理レベルを示す情報と加工データとを出力する。
なお処理部12は、個人情報として管理されるデータを加工する際、加工元のデータの項目のうち個人の特定につながらない項目のみを利用して加工データを生成する場合がある。この場合、加工データについては、個人情報用の管理レベルよりも保護の強度を下げることができる。例えば処理部12は、加工元となったデータの管理レベルが個人情報用の管理レベルのとき、データから個人を特定可能な値を設定する個人属性項目がすべて削除されている場合、加工データの管理レベルを、個人情報よりも保護の強度が低い他の管理レベルとする。
このように、第1の実施の形態によれば、コンピュータ10は、複数の管理レベルの中から、取得したデータに適用する管理レベルを適切に判定することができる。その結果、どのような管理レベルで管理すべきかが不明なデータを、大量にネットワークを介して収集した場合でも、各データに対して、その内容に応じた適切な情報保護対策を適用することができる。
さらにコンピュータ10は、記憶部11に格納したデータ2a~2dの検索結果を出力する際に、検索結果に検索条件に合致したデータの管理レベルを示す情報を含めることで、データ利用者に対してデータの管理レベルを通知することができる。例えばコンピュータ10は、管理レベルに応じて警告や注意喚起のメッセージを表示することで、データ利用者にデータの適切な管理を促すことができる。
しかもコンピュータ10は、収集したデータを加工して提供する際にも、加工データの管理レベルを自動判定するため、加工データの利用者に対しても、加工データの適切な管理を促すことができる。
〔第2の実施の形態〕
次に第2の実施の形態について説明する。
図2は、第2の実施の形態に係るシステムの一例を示す図である。データ流通基盤30には、データの収集と、収集したデータの提供とを行うサーバ100が設けられている。サーバ100は、ネットワーク20を介して、複数のデータ提供者を含むデータ提供者群31の使用する装置からデータを収集する。
データ提供者としては、個人、企業、公的機関などが含まれる。データ提供者が個人の場合、サーバ100は、例えば個人が使用する端末装置41a,41b,・・・から、データを収集する。またデータ提供者が企業の場合、サーバ100は、例えば企業が運用するサーバ42a,42b,・・・からデータを収集する。さらにデータ提供者が、国または地方公共団体などの公的機関の場合、サーバ100は、例えば公的機関が運用するサーバ43a,43b,・・・からデータを収集する。
データ流通基盤30のサーバ100は、収集したデータの種類を判定し、種類に応じて適切に管理する。そしてサーバ100は、複数のデータ利用者を含むデータ利用者群32の使用する装置からの要求に応じて、収集したデータ、または収集したデータを加工して得られるデータを提供する。例えばサーバ100は、データ利用者が運用するサーバ44a,44b,・・・からの検索要求に応じてデータを検索し、検索結果を送信する。またサーバ100は、サーバ44a,44b,・・・から、データの加工を伴うデータ取得要求を受信すると、そのデータ取得要求に従ってデータを加工し、加工したデータを送信する。
なおサーバ100は、検索結果を送信する場合、検索でヒットしたデータの種類に応じた管理レベルを示す情報を検索結果に含める。またサーバ100は、加工後のデータを提供する場合、加工後のデータの種別に応じた管理レベルを判定し、加工後のデータに、判定した管理レベルを示す情報を付与する。このように、サーバ100は、データを保護するための管理レベルを自動判定し、データを適切に管理する。
以下の説明では、管理対象のデータの種別を、該当種別のデータに適用する管理レベルの名称とする。すなわち、個人情報用の管理レベルを、管理レベル「個人情報」とする。匿名加工情報用の管理レベルを、管理レベル「匿名加工情報」とする。統計情報用の管理レベルを、管理レベル「統計情報」とする。オープンデータ用の管理レベルを、管理レベル「オープンデータ」とする。個人情報を含まず、統計情報でもオープンデータでもないデータ用の管理レベルを、管理レベル「個人情報を含まない非統計情報」とする。
図3は、サーバのハードウェアの一構成例を示す図である。サーバ100は、プロセッサ101によって装置全体が制御されている。プロセッサ101には、バス109を介してメモリ102と複数の周辺機器が接続されている。プロセッサ101は、マルチプロセッサであってもよい。プロセッサ101は、例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit)、またはDSP(Digital Signal Processor)である。プロセッサ101がプログラムを実行することで実現する機能の少なくとも一部を、ASIC(Application Specific Integrated Circuit)、PLD(Programmable Logic Device)などの電子回路で実現してもよい。
メモリ102は、サーバ100の主記憶装置として使用される。メモリ102には、プロセッサ101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、メモリ102には、プロセッサ101による処理に利用する各種データが格納される。メモリ102としては、例えばRAM(Random Access Memory)などの揮発性の半導体記憶装置が使用される。
バス109に接続されている周辺機器としては、ストレージ装置103、グラフィック処理装置104、入力インタフェース105、光学ドライブ装置106、機器接続インタフェース107およびネットワークインタフェース108がある。
ストレージ装置103は、内蔵した記録媒体に対して、電気的または磁気的にデータの書き込みおよび読み出しを行う。ストレージ装置103は、コンピュータの補助記憶装置として使用される。ストレージ装置103には、OSのプログラム、アプリケーションプログラム、および各種データが格納される。なお、ストレージ装置103としては、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)を使用することができる。
グラフィック処理装置104には、モニタ21が接続されている。グラフィック処理装置104は、プロセッサ101からの命令に従って、画像をモニタ21の画面に表示させる。モニタ21としては、有機EL(Electro Luminescence)を用いた表示装置や液晶表示装置などがある。
入力インタフェース105には、キーボード22とマウス23とが接続されている。入力インタフェース105は、キーボード22やマウス23から送られてくる信号をプロセッサ101に送信する。なお、マウス23は、ポインティングデバイスの一例であり、他のポインティングデバイスを使用することもできる。他のポインティングデバイスとしては、タッチパネル、タブレット、タッチパッド、トラックボールなどがある。
光学ドライブ装置106は、レーザ光などを利用して、光ディスク24に記録されたデータの読み取りを行う。光ディスク24は、光の反射によって読み取り可能なようにデータが記録された可搬型の記録媒体である。光ディスク24には、DVD(Digital Versatile Disc)、DVD-RAM、CD-ROM(Compact Disc Read Only Memory)、CD-R(Recordable)/RW(ReWritable)などがある。
機器接続インタフェース107は、サーバ100に周辺機器を接続するための通信インタフェースである。例えば機器接続インタフェース107には、メモリ装置25やメモリリーダライタ26を接続することができる。メモリ装置25は、機器接続インタフェース107との通信機能を搭載した記録媒体である。メモリリーダライタ26は、メモリカード27へのデータの書き込み、またはメモリカード27からのデータの読み出しを行う装置である。メモリカード27は、カード型の記録媒体である。
ネットワークインタフェース108は、ネットワーク20に接続されている。ネットワークインタフェース108は、ネットワーク20を介して、他のコンピュータまたは通信機器との間でデータの送受信を行う。
サーバ100は、以上のようなハードウェア構成によって、第2の実施の形態の処理機能を実現することができる。なお、第1の実施の形態に示したコンピュータ10も、図3に示したサーバ100と同様のハードウェアにより実現することができる。
サーバ100は、例えばコンピュータ読み取り可能な記録媒体に記録されたプログラムを実行することにより、第2の実施の形態の処理機能を実現する。サーバ100に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。例えば、サーバ100に実行させるプログラムをストレージ装置103に格納しておくことができる。プロセッサ101は、ストレージ装置103内のプログラムの少なくとも一部をメモリ102にロードし、プログラムを実行する。またサーバ100に実行させるプログラムを、光ディスク24、メモリ装置25、メモリカード27などの可搬型記録媒体に記録しておくこともできる。可搬型記録媒体に格納されたプログラムは、例えばプロセッサ101からの制御により、ストレージ装置103にインストールされた後、実行可能となる。またプロセッサ101が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。
図4は、データ流通基盤のサーバが実現する機能を示すブロック図である。データ流通基盤30のサーバ100は、PDS(Personal Data Store)110、DB(DataBase)120、データ提供者情報記憶部130、データ取得部140、データ検索部150、データ加工部160、組み合わせパターン辞書記憶部170、データ管理レベル判定部180、およびデータ管理情報記憶部190を有する。
PDS110は、個人情報を格納するためのデータベースである。サーバ100は、PDS110に格納されたデータを、そのデータの提供者の許可を受けずに外部に漏洩することがないように、厳重に管理する。
DB120は、個人情報以外のデータを記憶する。例えばDB120には、匿名加工情報、統計情報、オープンデータなどが格納される。サーバ100は、DB120に格納されたデータを、そのデータの種別に応じて適切に管理する。
データ提供者情報記憶部130は、データ提供者に関する情報(データ提供者情報)を記憶する。データ提供者情報は、データ流通基盤30の管理者によって予め登録される。
データ取得部140は、個人使用の端末装置41a,41b,・・・、企業運用のサーバ42a,42b,・・・、公的機関運用のサーバ43a,43b,・・・などのデータ提供者側の装置から、データを取得する。例えばデータ取得部140は、データ提供者側の装置からのデータ格納要求を受け付け、データ格納要求に示されるデータをその装置から取得する。またデータ取得部140は、所定のタイミングで、データ提供者側の装置に対してデータを要求して、その装置からデータを取得してもよい。データ取得部140は、データを取得すると、データ管理レベル判定部180に取得したデータの管理レベルの判定を依頼する。そしてデータ取得部140は、取得したデータに、そのデータの管理レベルを示すメタデータを付与し、PDS110またはDB120に格納する。例えばデータ取得部140は、取得したデータが個人情報であれば、そのデータをPDS110に格納する。またデータ取得部140は、取得したデータが個人情報以外の管理レベルのデータであれば、そのデータをDB120に格納する。
データ検索部150は、データ利用者が運用するサーバ44a,44b,・・・からの検索要求に応じて、PDS110およびDB120内のデータを検索し、検索結果を検索要求の送信元のサーバに送信する。データ検索部150は、例えば検索条件に合致したデータの名称とそのデータの管理レベルとを、検索結果に含める。
データ加工部160は、データ利用者が運用するサーバ44a,44b,・・・からのデータ加工要求に応じて、PDS110またはDB120内のデータを加工する。データ加工部160は、加工後のデータをデータ管理レベル判定部180に送信し、データ管理レベル判定部180に管理レベルの判定を依頼する。加工後のデータの管理レベルが判明すると、データ加工部160は、管理レベルを付与した加工後のデータを、データ加工要求の送信元のサーバに送信する。
なおデータ加工部160は、データを加工するために、データ組み合わせ生成部161、匿名化実行部162、および統計化実行部163を有する。データ組み合わせ生成部161は、PDS110またはDB120内の異なるデータテーブルに登録されている複数のデータを組み合わせて、1つのデータテーブルを生成する。匿名化実行部162は、PDS110内の個人情報の匿名化処理を行う。統計化実行部163は、PDS110またはDB120内のデータの統計情報を計算する。
組み合わせパターン辞書記憶部170は、複数の項目の値を組み合わせることで、個人を特定可能となるような項目の組み合わせパターンを示す組み合わせパターン辞書を記憶する。
データ管理レベル判定部180は、データの管理レベルを判定する。例えばデータ管理レベル判定部180は、データ取得部140からの依頼に基づいて、データ取得部140が取得したデータの管理レベルを判定する。またデータ管理レベル判定部180は、データ加工部160からの依頼に基づいて、データ加工部160による加工後のデータの管理レベルを判定する。データ管理レベル判定部180は、例えばデータ提供者情報記憶部130に格納されているデータ提供者情報に基づいて、データの管理レベルを判定する。
データ管理レベル判定部180は、例えば個人を特定可能な項目を含むデータの管理レベルは、個人情報と判定する。またデータ管理レベル判定部180は、取得したデータ内の複数の項目の値の組み合わせによって、個人が特定可能な場合、そのデータの管理レベルを個人情報と判定する。例えば取得したデータに年齢の項目と性別の項目とが含まれる場合がある。一般的には多数の人の年齢と性別とが判明しても、該当する個人を特定することはできない。例えばデータ内に「45歳の女性」のレコードが複数回出現すれば、複数人の中の誰のレコードなのかまでは特定できないため、そのデータは匿名性があることになる。しかし、例えばデータ内に「45歳の女性」のレコードが1つしかない場合、そのレコードに対応する個人が特定できてしまう。この場合、そのデータは十分な匿名性が確保できていない。そこでデータ管理レベル判定部180は、データ内の複数の項目の値を組み合わせたときの出現回数が所定値(例えば1回)以下のレコードが存在する場合、そのデータの管理レベルを「個人情報」と判定する。
またデータ管理レベル判定部180は、個人を特定できないように適切に加工されたデータの管理レベルは、匿名加工情報と判定する。データ管理レベル判定部180は、取得したデータが統計情報のみであれば、管理レベルを統計情報と判定する。さらにデータ管理レベル判定部180は、判定対象のデータが、例えば公的機関で公開された情報のみを含むデータであれば、そのデータの管理レベルをオープンデータと判定する。
なおデータ管理レベル判定部180は、組み合わせパターン辞書に登録されている項目の組み合わせについて、複数の項目の値を組み合わせたときの出現回数が所定値以下となる値を有するレコードの存在の有無を確認する。このように予め用意された組み合わせパターン辞書を利用することで、個人の特定につながる可能性の低い項目を含む項目の組み合わせについて、項目の値の希少性を確認せずにすみ、処理が効率化される。
データ管理情報記憶部190は、PDS110またはDB120に格納されたデータの管理情報を記憶する。データの管理情報には、そのデータの管理レベルを示すメタデータが含まれる。
なお、図4に示した各要素間を接続する線は通信経路の一部を示すものであり、図示した通信経路以外の通信経路も設定可能である。また、図4に示した各要素の機能は、例えば、その要素に対応するプログラムモジュールをコンピュータに実行させることで実現することができる。
次に、図5~図8を参照し、データ提供者情報について具体的に説明する。
図5は、データ提供者情報の一例を示す図である。データ提供者情報記憶部130には、データ提供者情報として、例えば法人契約管理テーブル131、ユーザ管理テーブル132、およびオープンデータカタログサイト管理テーブル133が格納されている。法人契約管理テーブル131は、データ提供の契約をしている法人に関する情報を登録するデータテーブルである。ユーザ管理テーブル132は、データ提供を行うユーザに関する情報を登録するデータテーブルである。オープンデータカタログサイト管理テーブル133は、一般に公開された情報を提供するサイトに関する情報を登録するデータテーブルである。データ提供者情報記憶部130に格納された各データテーブルの内容は、データ流通基盤30の運用管理者によって管理される。
図6は、法人契約管理テーブルの一例を示す図である。法人契約管理テーブル131内の各レコードには、レコード番号(No.)に対応付けて、法人ID、法人名、契約日、住所、および連絡先が設定されている。法人IDは、契約をしている法人(企業、公的機関など)の識別子である。法人名は、契約をしている法人の名称である。契約日は、法人がデータ提供の契約をした日付である。住所は、法人の所在地である。連絡先は、法人の連絡先を示す情報(例えば代表の電子メールアドレス)である。
図7は、ユーザ管理テーブルの一例を示す図である。ユーザ管理テーブル132内の各レコードには、レコード番号(No.)に対応付けて、ユーザID、契約種別、法人ID、アカウント作成日、メールアドレス、およびログインパスワードが設定されている。ユーザIDは、ユーザの名称である。契約種別は、ユーザが法人として契約をしているのか個人として契約しているのかに関する情報である。法人IDは、ユーザが法人契約をしている場合の契約した法人の識別子である。アカウント作成日は、ユーザのアカウントをサーバ100に作成した日付である。メールアドレスは、ユーザの電子メールのアドレスである。ログインパスワードは、ユーザが端末装置などを用いてサーバ100にアクセスする際にサーバ100にログインするためのパスワードである。
図8は、オープンデータカタログサイト管理テーブルの一例を示す図である。オープンデータカタログサイト管理テーブル133内の各レコードには、レコード番号(No.)に対応付けて、サイト名、運営者、およびIP(Internet Protocol)アドレスが設定されている。サイト名は、オープンデータを公開しているサーバのネットワーク20上の場所(サイト)を示す名称である。運営者は、オープンデータを公開しているサーバの運営者の名称である。IPアドレスは、オープンデータを公開しているサーバのIPアドレスである。
次に、組み合わせパターン辞書について具体的に説明する。
図9は、組み合わせパターン辞書の一例を示す図である。組み合わせパターン辞書記憶部170に格納された組み合わせパターン辞書171には、項番に対応付けて、組み合わせることで個人を特定可能な項目の組み合わせパターンが登録されている。
組み合わせパターン辞書171に示される項目の組み合わせに関しては、複数の項目を組み合わせたとき、その項目の値を組み合わせに唯一性があるレコードの有無が、データ管理レベル判定部180によって判定される。そして唯一性のあるレコードが検出された場合、そのデータの管理レベルが「個人情報」と判定される。
次に、データ管理情報について具体的に説明する。PDS110またはDB120にデータが格納された場合、そのデータの管理情報がデータ管理情報記憶部190に格納される。
図10は、データ管理情報記憶部内のデータ管理情報の一例を示す図である。データ管理情報記憶部190には、例えばデータ管理テーブル191が格納される。データ管理テーブル191には、データ名称、データ格納場所、データサイズ、登録/作成日時、最終更新日時、管理レベルの欄が設けられている。
データ名称の欄には、PDS110またはDB120に格納されたデータの名称が設定される。データ格納場所の欄には、データの格納場所がPDS110なのかDB120なのかが設定される。データサイズの欄には、格納されたデータのサイズが設定される。登録/作成日時の欄には、データの登録または作成日時が設定される。例えばデータ取得部140が取得したデータに関しては、登録/作成日時の欄に登録日時が設定される。またデータ加工部160が加工したデータに関しては、登録/作成日時の欄に作成日時が設定される。最終更新日時の欄には、データの最新の更新日時が設定される。管理レベルの欄には、データの管理レベルを示すメタデータが設定される。
次にデータ取得時のデータ管理レベルの判定処理について具体的に説明する。
図11は、データ取得時のデータ管理レベル判定処理の手順の一例を示すフローチャートである。以下、図11に示す処理をステップ番号に沿って説明する。
[ステップS101]データ管理レベル判定部180は、取得したデータが個人保有のデータか否かを判断する。例えばデータ管理レベル判定部180は、ユーザ管理テーブル132を参照し、データ提供者がサーバ100へのログインに使ったアカウントの契約種別が「個人」か否かを判断する。データ管理レベル判定部180は、契約種別が「個人」であれば、取得したデータは個人保有のデータであると判断する。データ管理レベル判定部180は、取得したデータが個人保有のデータであれば、処理をステップS109に進める。またデータ管理レベル判定部180は、取得したデータが個人保有のデータでなければ、処理をステップS102に進める。
[ステップS102]データ管理レベル判定部180は、取得したデータが、オープンデータカタログサイトから取得したデータか否かを判断する。例えばデータ管理レベル判定部180は、データの取得元のIPアドレスが、オープンデータカタログサイト管理テーブル133に登録されていれば、オープンデータカタログサイトから取得したデータであると判断する。データ管理レベル判定部180は、取得したデータが、オープンデータカタログサイトから取得したデータであれば、処理をステップS103に進める。またデータ管理レベル判定部180は、取得したデータが、オープンデータカタログサイトから取得したデータでなければ、処理をステップS104に進める。
[ステップS103]データ管理レベル判定部180は、取得したデータの管理レベルをオープンデータと判定する。データ管理レベル判定部180は、判定結果をデータ取得部140に通知する。データ取得部140は、取得したデータを、オープンデータであることを示すメタデータに関連付けてDB120に格納する。例えばデータ取得部140は、取得したデータをDB120に格納すると共に、格納したデータの名称と管理レベル「オープンデータ」とを含むレコードを、データ管理テーブル191に登録する。その後、データ管理レベル判定部180は、データ管理レベル判定処理を終了する。
[ステップS104]データ管理レベル判定部180は、取得したデータに、個人の属性を示す項目(個人属性項目)があるか否かを判断する。個人属性項目は、例えば項目名(スキーマ)が氏名、ユーザID、メールアドレス、住所などの項目である。またSNS(Social Networking Service)のアカウント名、クレジットカード番号、銀行口座番号、マイナンバーなども、個人と1対1で対応付けられており、個人属性項目に該当する。データ管理レベル判定部180は、個人の属性を示す項目があれば、処理をステップS105に進める。またデータ管理レベル判定部180は、個人の属性を示す項目がなければ、処理をステップS106に進める。
[ステップS105]データ管理レベル判定部180は、個人の属性を示す項目に具体的な値が設定されているか否かを判断する。例えばデータ管理レベル判定部180は、個人の属性を示す項目の値の設定領域が空欄の場合、具体的な値が設定されていないと判断する。例えば個人情報が匿名加工された場合、個人の属性を示す項目の値の設定領域が空欄となる。
匿名加工は、複数の属性の値を組み合わせても個人を特定できないように、値を曖昧化する処理である。例えば匿名加工では、項目の項目名(スキーマ)に応じて以下のような処理が行われる。
・氏名:すべて削除、またはランダムな値に置き換え
・メールアドレス:ドメイン名(@以下)だけ残し、それ以外を削除
・住所:県名や市町村名までにカット
・郵便番号:上位3ケタだけにカット
・年齢:年代に曖昧化
・個人特定につながる特異な値/珍しい値を削除
データ管理レベル判定部180は、個人の属性を示す項目に具体的な値が設定されている場合、処理をステップS109に進める。またデータ管理レベル判定部180は、個人の属性を示す項目に具体的な値が設定されていない場合、処理をステップS106に進める。
[ステップS106]データ管理レベル判定部180は、取得したデータに、個人特定につながる項目を示す項目名があるか否かを判断する。例えばデータ管理レベル判定部180は、組み合わせパターン辞書171に示されている項目の組み合わせパターンのいずれか1つに含まれる項目は、個人特定につながる項目であるものとする。データ管理レベル判定部180は、個人特定につながる項目がある場合、処理をステップS107に進める。またデータ管理レベル判定部180は、該当項目がなければ、処理をステップS111に進める。
[ステップS107]データ管理レベル判定部180は、項目の組み合わせによる個人特定の可能性判定処理を行う。この処理では、データ内の所定の複数の項目の値を組み合わせが唯一となるレコードが存在するか否かが判断される。そのようなレコードが存在する場合、該当項目の値に基づいて個人を特定可能となる。項目の組み合わせによる個人特定の可能性判定処理の詳細は後述する(図12参照)。
[ステップS108]データ管理レベル判定部180は、項目の組み合わせによる個人特定の可能性判定により個人特定が可能と判定したか否かを判断する。データ管理レベル判定部180は、個人特定が可能と判定した場合、処理をステップS109に進める。またデータ管理レベル判定部180は、個人特定が不可能と判定した場合、処理をステップS110に進める。
[ステップS109]データ管理レベル判定部180は、取得したデータの管理レベルを「個人情報」と判定する。データ管理レベル判定部180は、判定結果をデータ取得部140に通知する。データ取得部140は、取得したデータを、個人情報であることを示すメタデータに関連付けてPDS110に格納する。例えばデータ取得部140は、取得したデータをPDS110に格納すると共に、格納したデータの名称と管理レベル「個人情報」とを含むレコードを、データ管理テーブル191に登録する。その後、データ管理レベル判定部180は、データ管理レベル判定処理を終了する。
[ステップS110]データ管理レベル判定部180は、取得したデータの管理レベルを「匿名加工情報」と判定する。データ管理レベル判定部180は、判定結果をデータ取得部140に通知する。データ取得部140は、取得したデータを、匿名加工情報であることを示すメタデータに関連付けてDB120に格納する。例えばデータ取得部140は、取得したデータをDB120に格納すると共に、格納したデータの名称と管理レベル「匿名加工情報」とを含むレコードを、データ管理テーブル191に登録する。その後、データ管理レベル判定部180は、データ管理レベル判定処理を終了する。
[ステップS111]データ管理レベル判定部180は、取得したデータの項目が、統計の項目のみか否かを判断する。例えばデータ管理レベル判定部180は、取得したデータのすべての項目の項目名(スキーマ)が、統計対象の名称と、その統計対象の統計量を表す名称(平均値、最頻値、最大値、最小値、中央値、標準偏差など)のみであれば、取得したデータの項目が、統計の項目のみであると判断する。データ管理レベル判定部180は、取得したデータの項目が、統計の項目のみであれば、処理をステップS113に進める。またデータ管理レベル判定部180は、取得したデータの項目に、統計の項目ではない項目が少なくとも1つ含まれていれば、処理をステップS112に進める。
[ステップS112]データ管理レベル判定部180は、取得したデータの管理レベルを、「個人情報を含まない非統計情報」と判定する。データ管理レベル判定部180は、判定結果をデータ取得部140に通知する。データ取得部140は、取得したデータを、個人情報を含まない非統計情報であることを示すメタデータに関連付けてDB120に格納する。例えばデータ取得部140は、取得したデータをDB120に格納すると共に、格納したデータの名称と管理レベル「個人情報を含まない非統計情報」とを含むレコードを、データ管理テーブル191に登録する。その後、データ管理レベル判定部180は、データ管理レベル判定処理を終了する。
[ステップS113]データ管理レベル判定部180は、取得したデータの管理レベルを「統計情報」と判定する。データ管理レベル判定部180は、判定結果をデータ取得部140に通知する。データ取得部140は、取得したデータを、統計情報であることを示すメタデータに関連付けてDB120に格納する。例えばデータ取得部140は、取得したデータをDB120に格納すると共に、格納したデータの名称と管理レベル「統計情報」とを含むレコードを、データ管理テーブル191に登録する。その後、データ管理レベル判定部180は、データ管理レベル判定処理を終了する。
次に、項目の組み合わせによる個人特定の可能性判定処理について詳細に説明する。
図12は、項目の組み合わせによる個人特定の可能性判定処理の手順の一例を示すフローチャートである。以下、図12に示す処理をステップ番号に沿って説明する。
[ステップS121]データ管理レベル判定部180は、判定対象の項番を示す変数Nに初期値「1」を設定する。
[ステップS122]データ管理レベル判定部180は、取得したデータに、組み合わせパターン辞書171における項番が「N」の組み合わせたパターンに示される項目があるか否かを判断する。データ管理レベル判定部180は、該当項目がある場合、処理をステップS123に進める。またデータ管理レベル判定部180は、該当項目がない場合、処理をステップS127に進める。
[ステップS123]データ管理レベル判定部180は、取得したデータの各レコードから、項番が「N」の組み合わせたパターンに示される項目の値を抽出する。
[ステップS124]データ管理レベル判定部180は、抽出した値の組み合わせをレコード間で比較し、唯一性のある組み合わせを有するレコ-ドの有無を確認する。例えばデータ管理レベル判定部180は、取得したデータ内の複数のレコードそれぞれを確認対象とし、確認対象のレコードから抽出した項目の値の組み合わせを、他のレコードそれぞれから抽出した項目の値の組み合わせと比較する。データ管理レベル判定部180は、比較の結果、一致する項目の値の組み合わせを有するレコードが存在しなければ、確認対象のレコードは、唯一性のあるレコードであると判断する。
[ステップS125]データ管理レベル判定部180は、唯一性のあるレコードが少なくとも1つ存在するか否かを判断する。データ管理レベル判定部180は、唯一性のあるレコードが少なくとも1つ存在する場合、処理をステップS126に進める。またデータ管理レベル判定部180は、唯一性のあるレコードが存在しない場合、処理をステップS127に進める。
[ステップS126]データ管理レベル判定部180は、個人を特定可能と判定し、処理を終了する。
[ステップS127]データ管理レベル判定部180は、変数Nの値に「1」を加算する。
[ステップS128]データ管理レベル判定部180は、変数Nの値が、組み合わせパターン辞書171の項番の最大値より大きいか否かを判断する。データ管理レベル判定部180は、変数Nの値が項番の最大値を超えている場合、処理をステップS129に進める。またデータ管理レベル判定部180は、変数Nの値が項番の最大値以下であれば、処理をステップS122に進める。
[ステップS129]データ管理レベル判定部180は、個人を特定不可能と判定し、処理を終了する。
このようにして、取得したデータの管理レベルが判定される。以下、図13~図22を参照して、取得したデータの管理レベルの具体的な判定例について説明する。
図13は、管理レベルの第1の判定例を示す図である。図13には、歩数データ51を取得した場合の例が示されている。歩数データ51は、個人が所有する歩数計で計測した日々の歩数を示すデータである。歩数データ51には、個人の属性を示す項目「氏名」が含まれており、その項目には、個人を特定できる具体的なデータが記録されている。従って、歩数データ51の管理レベルは「個人情報」と判定され、歩数データ51はPDS110に格納される。
図14は、管理レベルの第2の判定例を示す図である。図14には、企業が保有するクレジットカード利用履歴52を取得した場合の例が示されている。クレジットカード利用履歴52は、企業が発行したクレジットカードのユーザによる利用履歴を示すデータである。クレジットカード利用履歴52には、個人の属性を示す項目「カード名義」が含まれており、その項目には、個人を特定できる具体的なデータが記録されている。従って、クレジットカード利用履歴52の管理レベルは「個人情報」と判定され、クレジットカード利用履歴52はPDS110に格納される。
図15は、管理レベルの第3の判定例を示す図である。図15には、企業が匿名加工を施したクレジットカード利用履歴53を取得した場合の例が示されている。クレジットカード利用履歴53には、個人の属性を示す項目「カード名義」が含まれているが、その項目には、個人を特定できる具体的なデータが記録されていない。またクレジットカード利用履歴53には、個人特定につながる属性の項目「性別」、「年齢」が含まれているが、年齢の値は、歳の年代に置き換えられており、該当項目には個人を特定できる具体的な値は含まれていない。従って、クレジットカード利用履歴53の管理レベルは「匿名加工情報」と判定され、クレジットカード利用履歴53はDB120に格納される。
図16は、管理レベルの第4の判定例を示す図である。図16には、健康保険組合が保有する健診データ54を取得した場合の例が示されている。健診データ54は、健康保険組合への加盟者に対して行った健康診断の結果を記録したデータである。健診データ54には、個人の属性を示す項目「氏名」が含まれており、その項目には、個人を特定できる具体的なデータが記録されている。従って、健診データ54の管理レベルは「個人情報」と判定され、健診データ54はPDS110に格納される。
図17は、管理レベルの第5の判定例を示す図である。図17には、健康保険組合が匿名加工を施した健診データ55を取得した場合の例が示されている。健診データ55には、個人の属性を示す項目「氏名」が含まれているが、その項目には、個人を特定できる具体的なデータが記録されていない。また健診データ55には、個人特定につながる属性の項目「性別」、「生年月日」、「年齢」、「身長」、「体重」、「血圧」が含まれている。ただし、これらの項目のうち「生年月日」の値は削除されており、「年齢」、「身長」、「体重」の値は、所定の幅を持った区間を示す値に置き換えられている。従って、健診データ55の管理レベルは「匿名加工情報」と判定され、健診データ55はDB120に格納される。
図18は、管理レベルの第6の判定例を示す図である。図18には、統計処理を行った後の健診データ56を取得した場合の例が示されている。健診データ56には、個人の属性を示す項目がなく、かつ個人特定につながる項目もない。健診データ56に含まれているのは、統計量の計算対象を示す項目「病名」を除くと、統計量を示す項目「合計人数」、「平均年齢」、「最低年齢」、「最高年齢」のみである。従って、健診データ56の管理レベルは「統計情報」と判定され、健診データ56はDB120に格納される。
図19は、管理レベルの第7の判定例を示す図である。図19には、企業が保有する工場Aのインフラの稼働ログ57を取得した場合の例が示されている。稼働ログ57には、工場の設備ごとに、毎日の稼働の有無が示されている。稼働ログ57には、個人の属性を示す項目がなく、個人特定につながる属性の項目もない。また稼働ログ57の項目は、統計情報の項目だけというわけでもない。従って、稼働ログ57の管理レベルは、「個人情報を含まない非統計情報」と判定され、稼働ログ57はDB120に格納される。
図20は、管理レベルの第8の判定例を示す図である。図20には、企業が保有する店舗の来客数と売上に関する集計データ58を取得した場合の例が示されている。集計データ58には、店舗ごとに、毎月の来客人数計と売上計とが示されている。集計データ58には、個人の属性を示す項目がなく、個人特定につながる属性の項目もない。また集計データ58に含まれているのは、統計量の計算対象を示す項目「店舗名」を除くと、統計量である合計値を示す項目「来客人数計」、「売上計」のみである。従って、集計データ58の管理レベルは「統計情報」と判定され、集計データ58はDB120に格納される。
図21は、管理レベルの第9の判定例を示す図である。図21には、自治体(県)がオープンデータとして公開した市町村の人口推移に関する人口統計データ59を取得した場合の例が示されている。人口統計データ59には、市ごとに、各年の人口が示されている。人口統計データ59は、自治体のオープンデータカタログサイトで提供されたものである。従って、人口統計データ59の管理レベルは「オープンデータ」と判定され、人口統計データ59はDB120に格納される。
図22は、管理レベルの第10の判定例を示す図である。図22には、セミナー受講者リスト60を取得した場合の例が示されている。セミナー受講者リスト60には、セミナー受講者ごとに、姓、所属する会社の会社名、セミナー受講者の社内での役職名、およびセミナーの受講日が設定されている。セミナー受講者の姓、会社名、役職名、および受講日は、単独では個人属性を示すものではない。この場合、データ管理レベル判定部180が、図9に示した組み合わせパターン辞書171に基づいて、唯一性のあるレコードの存在の有無を判定する。
組み合わせパターン辞書171の項番「1」~「5」については、項目の組み合わせパターンに該当する項目の組み合わせが、セミナー受講者リスト60内に存在しない。組み合わせパターン辞書171の項番「6」の項目の組み合わせパターン「姓、会社名」は、いずれの項目もセミナー受講者リスト60内に存在する。そこでデータ管理レベル判定部180は、セミナー受講者リスト60から項目「姓」、「会社名」を抽出し、抽出した項目の値が同一となるレコードが他にないレコード(唯一性のあるレコード)の有無を判断する。図22の例では、項目「姓」、「会社名」の組み合わせパターンについては、唯一性のあるレコードは存在しない。
組み合わせパターン辞書171の項番「7」の項目の組み合わせパターン「姓、会社名、役職名」は、いずれの項目もセミナー受講者リスト60内に存在する。そこでデータ管理レベル判定部180は、セミナー受講者リスト60から項目「姓」、「会社名」、「役職名」を抽出し、抽出した項目の値が同一となるレコードが他にないレコード(唯一性のあるレコード)の有無を判断する。図22の例では、項目「姓」の値が「佐藤」、項目「会社名」の値が「A社」、項目「役職名」の値が「部長」であるレコードは1つしか存在せず、このレコードは唯一性がある。また項目「姓」の値が「佐藤」、項目「会社名」の値が「A社」、項目「役職名」の値が空欄のレコードも1つしか存在せず、このレコードも唯一性がある。この場合、セミナー受講者リスト60の管理レベルは「個人情報」と判定され、セミナー受講者リスト60はPDS110に格納される。
このように、取得したデータには適切な管理レベルが設定され、サーバ100内では管理レベルに応じて管理される。例えば、サーバ100は、管理レベルが「個人情報」のデータについては、アクセス可能なユーザを制限して、データの内容が、そのデータの提供者の許可なしに外部に漏れることのないように管理する。またサーバ100は、匿名加工情報については、例えば法律で禁止されている使い方をしないように管理する。さらにサーバ100は、統計情報については、例えば不特定多数に公開しないように管理する。オープンデータについては、公開されているデータなので、特別な管理を行う理由はない。そこでサーバ100は、オープンデータについては、例えばサーバ100にアクセス可能なユーザであれば誰でも閲覧可能な領域に、オープンデータを格納する。
サーバ100に格納されたデータの利用者は、例えばデータの利用者が運用するサーバ44a,44bを介して、サーバ100内のデータを取得できる。例えばデータの利用者は、サーバ44aを用いて、検索画面に検索条件を入力する。するとサーバ44aからデータを保持するサーバ100に、その検索条件による検索要求が送信される。サーバ100では、データ検索部150が検索要求に応じてデータの検索を実行し、検索条件に合致するデータの一覧を、検索結果としてサーバ44aに送信する。検索結果には、検索条件に合致するデータの管理レベルを示す情報が含まれる。サーバ44aは、例えば検索画面内に検索結果を表示する。
図23は、検索画面の一例を示す図である。検索画面70には、例えば検索キーワード入力用のテキストボックス71と検索結果表示領域72とが含まれる。テキストボックス71は、検索条件を表すキーワードの入力領域である。検索結果表示領域72は、検索条件に合致するデータの一覧の表示領域である。
図23の例では、テキストボックス71に「購買行動データ」と入力されている。この場合、サーバ100では、購買行動に関連するデータを、PDS110またはDB120から検索し、該当するデータの名称を管理レベルごとに分類し、検索結果情報を生成する。検索結果情報は、サーバ100からサーバ44aに送信され、検索画面70内に表示される。
このような検索画面70を、例えばデータ利用者が使用する端末装置に表示することで、データ利用者は、データを入手する前に、どんな管理レベルが求められるデータであるかを容易に把握できるようになる。その結果、データ管理の効率化が図れる。
またデータ利用者は、例えば検索画面70に示されたデータの名称を指定して、データ流通基盤30からデータを購入してダウンロードしたり、指定したデータの加工要求を指示したりすることができる。例えばデータ利用者は、検索画面70で見つかったデータを選択して詳細情報の表示指示を入力する。すると、サーバ44aによりデータ加工要求画面が表示される。
図24は、データ加工要求画面の一例を示す図である。データ加工要求画面80には、選択したデータ(Aさんの食事ログ)の入手や加工を指示するボタン81~84が表示されている。
ボタン81は、選択したデータのダウンロードを指示するボタンである。選択されたデータの管理レベルが「個人情報」の場合、ボタン81の横には、データを個人情報として厳重に管理することに同意することを示すチェックボックス86が表示される。チェックボックス86がチェックされた後にボタン81が押下されると、選択したデータのダウンロード処理が開始される。
ボタン82は、データの匿名加工を指示するボタンである。ボタン82が押下されると、選択したデータの匿名加工がサーバ100において実施され、匿名加工済みのデータが加工結果としてサーバ44aに送られる。
ボタン83は、データの統計情報への加工を指示するボタンである。ボタン83が押下されると、選択したデータの統計情報への加工がサーバ100において実施され、統計情報が加工結果としてサーバ44aに送られる。
ボタン84は、他のデータと組み合わせる加工を指示するボタンである。ボタン84が押下されると、組み合わせ対象とする他のデータの選択画面が表示される。データ利用者が他のデータを選択すると、選択したデータを組み合わせた新たなデータがサーバ100において生成され、生成されたデータが加工結果としてサーバ44aに送られる。
ボタン85は、データの検索画面70を表示させるためのボタンである。ボタン85が押下されると、画面が検索画面70に遷移する。
サーバ44aが表示したデータ加工要求画面80に対して、データ利用者がデータ加工の指示を入力すると、サーバ44aは、データ加工要求をサーバ100に送信する。すると、サーバ100のデータ加工部160が、データ加工要求に応じたデータ加工処理を実行する。データ加工部160がデータを加工すると、加工後のデータについて、データ管理レベル判定部180が管理レベルを判定する。
図25は、加工データの管理レベル判定処理の手順の一例を示すフローチャートである。以下、図25に示す処理をステップ番号に沿って説明する。
[ステップS201]データ管理レベル判定部180は、データ加工処理において、複数のデータを組み合わせたか否かを判断する。データ管理レベル判定部180は、複数のデータを組み合わせたデータ加工処理が行われた場合、処理をステップS203に進める。またデータ管理レベル判定部180は、1つのデータに対するデータ加工処理が行われた場合、処理をステップS202に進める。
[ステップS202]データ管理レベル判定部180は、加工元のデータの管理レベルを加工後のデータの管理レベルに設定する。その後、データ管理レベル判定部180は、処理をステップS204に進める。
[ステップS203]データ管理レベル判定部180は、加工元のデータそれぞれに適用される管理レベルのうちの最も厳しい管理レベルを、加工後のデータの管理レベルとして設定する。
[ステップS204]データ管理レベル判定部180は、データ加工処理において匿名加工を実施したか否かを判断する。データ管理レベル判定部180は、匿名加工が実施されている場合、処理をステップS205に進める。またデータ管理レベル判定部180は、匿名加工が実施されていない場合、処理をステップS206に進める。
[ステップS205]データ管理レベル判定部180は、加工後のデータの管理レベルを「匿名加工情報」に変更し、処理をステップS213に進める。
[ステップS206]データ管理レベル判定部180は、データ加工処理において個人属性を示す項目をすべて削除したか否かを判断する。データ管理レベル判定部180は、個人属性を示す項目がすべて削除されている場合、処理をステップS207に進める。またデータ管理レベル判定部180は、個人属性を示す項目が残っている場合、処理をステップS208に進める。
[ステップS207]データ管理レベル判定部180は、加工後のデータの管理レベルを「個人情報を含まない非統計情報」に変更し、管理レベル判定処理を終了する。
[ステップS208]データ管理レベル判定部180は、データ加工処理において統計化の加工を実施したか否かを判断する。データ管理レベル判定部180は、統計化が行われている場合、処理をステップS209に進める。またデータ管理レベル判定部180は、統計化が行われていなければ、処理をステップS210に進める。
[ステップS209]データ管理レベル判定部180は、加工後のデータの管理レベルを「統計情報」に変更し、管理レベル判定処理を終了する。
[ステップS210]データ管理レベル判定部180は、加工後のデータの管理レベルが「個人情報」か否かを判断する。データ管理レベル判定部180は、管理レベルが「個人情報」であれば、処理をステップS211に進める。またデータ管理レベル判定部180は、管理レベルが「個人情報」でなければ、処理をステップS212に進める。
[ステップS211]データ管理レベル判定部180は、データ加工要求の送信元のサーバ44aに、加工後のデータについて、個人情報としての厳重管理を促す警告メッセージを送信する。その後、データ管理レベル判定部180は管理レベル判定処理を終了する。
[ステップS212]データ管理レベル判定部180は、加工後のデータの管理レベルが「匿名加工情報」か否かを判断する。データ管理レベル判定部180は、管理レベルが「匿名加工情報」であれば、処理をステップS213に進める。またデータ管理レベル判定部180は、管理レベルが「匿名加工情報」でなければ、管理レベル判定処理を終了する。
[ステップS213]データ管理レベル判定部180は、データ加工要求の送信元のサーバ44aに、加工後のデータについて、匿名加工情報としての管理を促す警告メッセージを送信する。
このようにして、加工したデータについては、加工元のデータの管理レベルと加工内容とに応じて、管理レベルが決定される。
図26は、加工データの管理レベル判定処理の第1の例を示す図である。図26には、健診データ61と歩数データ62とを組み合わせて、結合データ63を生成した場合の例が示されている。健診データ61の管理レベルは「個人情報」であり、歩数データ62の管理レベルも「個人情報」である。健診データ61と歩数データ62とを組み合わせた結合データ63は、例えば運動量(歩数)とメタボリックシンドロームや各種の病気との相関関係の分析に利用できる。
結合データ63は、加工元のデータの管理レベルが「個人情報」であり、個人属性を示す項目「氏名」が削除されずに残されているため、このままでは管理レベルは「個人情報」となる。データ加工処理において、結合データ63に対して匿名加工を行った場合、例えば「氏名」の項目の値が削除される。匿名加工後の結合データ64の管理レベルは「匿名加工情報」となる。
図27は、加工データの管理レベル判定処理の第2の例を示す図である。図27には、年単位での店舗の来客数の集計データ65と、自治体がオープンデータとして公開した市町村の人口構成の推移データ66とを組み合わせて、結合データ67を生成した場合の例が示されている。店舗の来客数の集計データ65の管理レベルは「統計情報」である。また市町村の人口構成の推移データ66の管理レベルは「オープンデータ」である。店舗の来客数の集計データ65と市町村の人口構成の推移データ66とを組み合わせた結合データ67は、例えば今後の売上予測やマーケティング戦略の策定に利用することができる。
結合データ67には、加工元のデータの管理レベルのうちの、厳しい方の管理レベルが適用される。従って、結合データ67の管理レベルは「統計情報」となる。
このように加工データについても適切な管理レベルを判定し、データ利用者に加工データの適切な管理を促すことができる。
〔その他の実施の形態〕
第2の実施の形態では、複数の項目の値を組み合わせて個人を特定可能となる条件として、唯一性のあるレコードの存在の有無を判断しているが、唯一性がなくても希少性のあるレコードが存在する場合、個人を特定可能と判断してもよい。例えばデータ管理レベル判定部180は、複数の項目の値の組み合わせが同一となるレコードが所定数以下の場合、それらのレコードは希少性があると判断し、そのレコードを含むデータは個人を特定可能であると判断する。
以上、実施の形態を例示したが、実施の形態で示した各部の構成は同様の機能を有する他のものに置換することができる。また、他の任意の構成物や工程が付加されてもよい。さらに、前述した実施の形態のうちの任意の2以上の構成(特徴)を組み合わせたものであってもよい。
1a~1c 装置
2a~2d データ
3a~3d 管理情報
4 オープンデータ位置情報
10 コンピュータ
11 記憶部
12 処理部

Claims (7)

  1. コンピュータに、
    ネットワークを介して接続された装置から、1または複数の項目の少なくとも一部に値が設定されたデータを取得し、
    前記データの前記1または複数の項目それぞれの項目名、および前記1または複数の項目それぞれへの値の設定の有無に基づいて、情報保護の対策強度が異なる複数の管理レベルのうち、前記データに適用する管理レベルを判定し、
    前記データに適用する管理レベルを示す管理情報と関連付けて、前記データを記憶部に格納
    前記データの管理レベルの判定では、
    前記1または複数の項目それぞれの項目名に、個人を特定可能な値を設定する個人属性項目の項目名が含まれており、前記個人属性項目に値が設定されている場合、前記データの管理レベルを、個人情報用の管理レベルと判定し、
    前記1または複数の項目それぞれの項目名に、前記個人属性項目の項目名が含まれており、前記個人属性項目に値が設定されていない場合、前記データの管理レベルを、個人情報に匿名加工を行った匿名加工情報用の管理レベルと判定し、
    前記データに複数のレコードが含まれており、前記1または複数の項目に第1項目と第2項目とが含まれており、同一レコード内の前記第1項目の値と前記第2項目の値との組のうち、前記複数のレコードのうちの所定数以下のレコードにのみ存在する組がある場合、前記データの管理レベルを、個人情報用の管理レベルと判定する、
    処理を実行させるデータ管理レベル判定プログラム。
  2. 前記データの管理レベルの判定では、前記1または複数の項目が統計対象を示す項目または統計値の名称を示す項目の場合、前記データの管理レベルを統計情報用の管理レベルと判定する、
    請求項1に記載のデータ管理レベル判定プログラム。
  3. 前記データの管理レベルの判定では、制限なしに使用可能なオープンデータの格納場所を示すオープンデータ位置情報と、前記ネットワーク上での前記データの取得元の位置とを比較し、前記データの取得元の位置が前記オープンデータの格納場所に含まれる場合、前記データの管理レベルをオープンデータ用の管理レベルと判定する、
    請求項1または2に記載のデータ管理レベル判定プログラム。
  4. 前記コンピュータに、さらに、
    検索条件を指定したデータ検索要求に応じて、前記記憶部に対するデータ検索を行い、
    前記検索条件に合致する該当データの名称と管理レベルとを示す検索結果を出力する、
    処理を実行させる請求項1ないしのいずれかに記載のデータ管理レベル判定プログラム。
  5. 前記コンピュータに、さらに、
    前記記憶部に格納された前記データの加工を要求するデータ加工要求に応じて前記データを加工して加工データを生成し、
    加工元となった前記データの管理レベルと加工内容とに基づいて、前記加工データの管理レベルを判定し、
    前記加工データの管理レベルを示す情報と前記加工データとを出力する、
    処理を実行させる請求項1ないしのいずれかに記載のデータ管理レベル判定プログラム。
  6. 前記加工データの管理レベルの判定では、加工元となった前記データの管理レベルが個人情報用の管理レベルのとき、前記データから個人を特定可能な値を設定する個人属性項目がすべて削除されている場合、前記加工データの管理レベルを、個人情報用の管理レベルよりも保護の強度が低い他の管理レベルとする、
    請求項記載のデータ管理レベル判定プログラム。
  7. コンピュータが、
    ネットワークを介して接続された装置から、1または複数の項目の少なくとも一部に値が設定されたデータを取得し、
    前記データの前記1または複数の項目それぞれの項目名、および前記1または複数の項目それぞれへの値の設定の有無に基づいて、情報保護の対策強度が異なる複数の管理レベルのうち、前記データに適用する管理レベルを判定し、
    前記データに適用する管理レベルを示す管理情報と関連付けて、前記データを記憶部に格納
    前記データの管理レベルの判定では、
    前記1または複数の項目それぞれの項目名に、個人を特定可能な値を設定する個人属性項目の項目名が含まれており、前記個人属性項目に値が設定されている場合、前記データの管理レベルを、個人情報用の管理レベルと判定し、
    前記1または複数の項目それぞれの項目名に、前記個人属性項目の項目名が含まれており、前記個人属性項目に値が設定されていない場合、前記データの管理レベルを、個人情報に匿名加工を行った匿名加工情報用の管理レベルと判定し、
    前記データに複数のレコードが含まれており、前記1または複数の項目に第1項目と第2項目とが含まれており、同一レコード内の前記第1項目の値と前記第2項目の値との組のうち、前記複数のレコードのうちの所定数以下のレコードにのみ存在する組がある場合、前記データの管理レベルを、個人情報用の管理レベルと判定する、
    データ管理レベル判定方法。
JP2018174728A 2018-09-19 2018-09-19 データ管理レベル判定プログラム、およびデータ管理レベル判定方法 Active JP7121276B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018174728A JP7121276B2 (ja) 2018-09-19 2018-09-19 データ管理レベル判定プログラム、およびデータ管理レベル判定方法
US16/553,293 US11429747B2 (en) 2018-09-19 2019-08-28 Data management level determining method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018174728A JP7121276B2 (ja) 2018-09-19 2018-09-19 データ管理レベル判定プログラム、およびデータ管理レベル判定方法

Publications (2)

Publication Number Publication Date
JP2020046920A JP2020046920A (ja) 2020-03-26
JP7121276B2 true JP7121276B2 (ja) 2022-08-18

Family

ID=69773663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018174728A Active JP7121276B2 (ja) 2018-09-19 2018-09-19 データ管理レベル判定プログラム、およびデータ管理レベル判定方法

Country Status (2)

Country Link
US (1) US11429747B2 (ja)
JP (1) JP7121276B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006189925A (ja) 2004-12-28 2006-07-20 Senken:Kk 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法
WO2008001707A1 (fr) 2006-06-26 2008-01-03 Senken Co., Ltd. Système et procédé de gestion d'informations personnelles ou confidentielles
JP2015207053A (ja) 2014-04-17 2015-11-19 キヤノン株式会社 情報管理システム、情報管理方法及びプログラム
JP2018121112A (ja) 2017-01-23 2018-08-02 パイオニア株式会社 通信装置、通信方法、プログラム及び記録媒体

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6253203B1 (en) * 1998-10-02 2001-06-26 Ncr Corporation Privacy-enhanced database
US8117644B2 (en) * 2000-01-07 2012-02-14 Pennar Software Corporation Method and system for online document collaboration
US7979451B2 (en) * 2008-03-19 2011-07-12 International Business Machines Corporation Data manipulation command method and system
US9727751B2 (en) * 2010-10-29 2017-08-08 Nokia Technologies Oy Method and apparatus for applying privacy policies to structured data
US9659051B2 (en) * 2014-12-22 2017-05-23 Bladelogic Inc. Enforcing referential integrity for object data documents
US9858426B2 (en) * 2015-11-03 2018-01-02 Palo Alto Research Center Incorporated Computer-implemented system and method for automatically identifying attributes for anonymization
FR3047586A1 (fr) * 2016-02-09 2017-08-11 Orange Procede et dispositif d'anonymisation de donnees stockees dans une base de donnees
JP6706965B2 (ja) 2016-02-24 2020-06-10 株式会社Kddi総合研究所 通信システム、端末装置、プライバシー保護装置、プライバシー保護方法、及びプログラム
EP3367290A1 (en) * 2017-02-27 2018-08-29 AGT International GmbH Systems, methods and computer program products for combining privacy enhancing technologies
US10721304B2 (en) * 2017-09-14 2020-07-21 International Business Machines Corporation Storage system using cloud storage as a rank
US10740488B2 (en) * 2017-11-17 2020-08-11 International Business Machines Corporation Cognitive data anonymization
EP3528460A1 (en) * 2018-02-20 2019-08-21 Darktrace Limited Artificial intelligence privacy protection for cybersecurity analysis

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006189925A (ja) 2004-12-28 2006-07-20 Senken:Kk 個人情報管理システム、個人情報管理プログラムおよび個人情報保護方法
WO2008001707A1 (fr) 2006-06-26 2008-01-03 Senken Co., Ltd. Système et procédé de gestion d'informations personnelles ou confidentielles
JP2015207053A (ja) 2014-04-17 2015-11-19 キヤノン株式会社 情報管理システム、情報管理方法及びプログラム
JP2018121112A (ja) 2017-01-23 2018-08-02 パイオニア株式会社 通信装置、通信方法、プログラム及び記録媒体

Also Published As

Publication number Publication date
US20200089913A1 (en) 2020-03-19
JP2020046920A (ja) 2020-03-26
US11429747B2 (en) 2022-08-30

Similar Documents

Publication Publication Date Title
BinDhim et al. A systematic review of quality assessment methods for smartphone health apps
US8037052B2 (en) Systems and methods for free text searching of electronic medical record data
Paul et al. Privacy implications of wearable health devices
US20130179176A1 (en) Computer implemented method for determining the presence of a disease in a patient
US20070294112A1 (en) Systems and methods for identification and/or evaluation of potential safety concerns associated with a medical therapy
JP2005100408A (ja) 臨床情報の保存、調査及び検索のためのシステムと方法とビジネス方法
Andrews A new privacy paradigm in the age of apps
US11366927B1 (en) Computing system for de-identifying patient data
El Emam et al. Evaluating predictors of geographic area population size cut-offs to manage re-identification risk
Kasperbauer Protecting health privacy even when privacy is lost
Scott et al. Evaluation considerations for secondary uses of clinical data: principles for an evidence-based approach to policy and implementation of secondary analysis
Mulgund et al. The implications of the California Consumer Privacy Act (CCPA) on healthcare organizations: Lessons learned from early compliance experiences
JP2012103759A (ja) 図書館蔵書検索システム、レコメンド情報提供方法及びプログラム
Koo et al. An analysis of reporting practices in the top 100 cited health and medicine-related bibliometric studies from 2019 to 2021 based on a proposed guidelines
Weitz et al. The challenges in measurement for abortion access and use in research post-Dobbs
JP6988521B2 (ja) 情報処理プログラム、情報処理方法および情報処理装置
Nyariro et al. Integrating equity, diversity and inclusion throughout the lifecycle of AI within healthcare: a scoping review protocol
JP7121276B2 (ja) データ管理レベル判定プログラム、およびデータ管理レベル判定方法
Demuro et al. Managing privacy and data sharing through the use of health care information fiduciaries
Mejova et al. Googling for abortion: Search engine mediation of abortion accessibility in the United States
KR102418984B1 (ko) 사용환경에 대한 위험에 따른 정보집합물을 가명 처리하는 시스템 및 그 제어방법
Adamakis et al. Visualizing the risks of de-anonymization in high-dimensional data
US20200117833A1 (en) Longitudinal data de-identification
Howles Data, Data Quality, and Ethical Use.
Prada et al. Avoiding disclosure of individually identifiable health information: a literature review

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210610

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210614

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20210614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220531

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220718

R150 Certificate of patent or registration of utility model

Ref document number: 7121276

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150