JP2017228255A - 評価装置、評価方法及びプログラム - Google Patents
評価装置、評価方法及びプログラム Download PDFInfo
- Publication number
- JP2017228255A JP2017228255A JP2016126008A JP2016126008A JP2017228255A JP 2017228255 A JP2017228255 A JP 2017228255A JP 2016126008 A JP2016126008 A JP 2016126008A JP 2016126008 A JP2016126008 A JP 2016126008A JP 2017228255 A JP2017228255 A JP 2017228255A
- Authority
- JP
- Japan
- Prior art keywords
- target data
- individual
- identification risk
- evaluation
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
Abstract
【課題】k匿名化処理を行なったデータに対する評価を行ない得る、評価装置、評価方法及びプログラムを提供する。
【解決手段】評価装置10は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう装置である。評価装置10では、対象データから個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部11と、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部12と、対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部13と、を備えている。
【選択図】図1
【解決手段】評価装置10は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう装置である。評価装置10では、対象データから個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部11と、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部12と、対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部13と、を備えている。
【選択図】図1
Description
本発明は、匿名化した情報を評価する評価装置、評価方法及びこれを実現するためのプログラムに関する。
近年、IT技術の発展により、個人情報が非常に漏洩し易い状況となっている。このため、個人情報の保護の重要性が叫ばれており、個人情報に対して、個人の識別を困難にする加工処理を施すことが提案されている。このような加工処理の1つとして、k匿名化処理が知られている。
k匿名化処理では、対象となるデータ内に、同じ属性を持つデータがk件以上存在するようにデータが加工される。例えば、郵便番号、性別、年齢、趣味を項目とする個人データが存在する場合に、k=3が設定されているとする。この場合に、k匿名化処理が実行されると、各項目が全て一致する個人の数がk=3人以上となるように、郵便番号の下数桁を削除したり、年齢を切り上げたり、といったデータの加工が行なわれている。
これに関連し、例えば、特許文献1では、データベースに対して匿名化処理を施した際に、過度な情報損失が生じているか否かを判定し、判定した判定結果によって、情報有用性を算出することが開示されている。
また、特許文献2では、個人情報を含む匿名化データから個人が一意に特定されるリスクレベルを分析する情報匿名化システムが開示されている。開示された情報匿名化システムは、匿名化データを構成するレコードごとに、リスクを定量的に分析し、分析されたレコードごとのリスクに基づいて、特定の尺度に従って匿名化データのリスクレベルを算出し、算出されたリスクレベルを出力する。
ここで、kの値を高く設定する程、個人情報の漏洩リスクを低減することになるが、個人情報を利用する際の有用性は低下することになる。一方、kの値を低く設定する程、個人情報を利用する際の有用性は高くなるが、個人情報の漏洩リスクは高まることになる。
特許文献1では、匿名化した個人の匿名化データに対し、過度に情報損失が生じているか否かの判定を行い、匿名化した個人情報の有用性の算出を行っているが、個人情報の漏洩リスクを妨げる点については考慮されていない。
特許文献2では、個人情報の漏洩リスクについてリスク分析装置を用い、リスクレベルを分析することで個人情報の漏洩リスクを解決しているが、過剰に漏洩リスクを防止すると情報の有用性が失われてしまうおそれがある、という点については考慮されていない。
そこで、情報有用性と漏洩リスクの双方を評価し、kの値を適正な値に設定することが求められる。
本発明の目的の一例は、上記問題点を解消し、k匿名化処理を行なったデータに対する評価を行ない得る、評価装置、評価方法及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面における評価装置は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価装置であって、
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする。
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする。
また、上記目的を達成するため、本発明の一側面における評価方法は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価方法であって、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価するする、ステップと、を有することを特徴とする。
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価するする、ステップと、を有することを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させることを、を特徴とする。
コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させることを、を特徴とする。
以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。
(実施の形態)
以下、本発明の実施の形態における評価装置、評価方法及びプログラムについて、図1〜図10を参照しながら説明する。
以下、本発明の実施の形態における評価装置、評価方法及びプログラムについて、図1〜図10を参照しながら説明する。
[装置構成]
最初に、本実施の形態における評価装置の概略構成について図1を用いて説明する。図1は、本発明の実施形態1に係る評価装置の概略構成を示すブロック図である。
最初に、本実施の形態における評価装置の概略構成について図1を用いて説明する。図1は、本発明の実施形態1に係る評価装置の概略構成を示すブロック図である。
図1に示す本実施の形態における評価装置10は、複数の個人の個人情報を含むデータを対象データとして評価を行なう装置である。図1に示すように、本実施形態における評価装置10は、個人識別リスク評価部11と、個人特定リスク評価部12と、有用性評価部13とを備えている。
個人識別リスク評価部11は、対象データから個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する。個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する。有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する。
ここで、「識別」とは、誰かひとりの情報がわかることと定義する。「特定」とは、誰の情報であるかがわかることと定義する。「識別」は、「特定」よりも広義の意である。「特定」されているならば、当然に「識別」されていることとなる。k匿名化は、「特定」を防止するために、「識別」を困難にする技術であると言える。
このように、本実施の形態では、データは、個人識別リスク、個人特定リスク、有用性の三点において評価される。本実施の形態によれば、k匿名化処理を行なったデータに対する評価が可能となる。
続いて、図2を参照し、本実施の形態における評価システム1について更に具体的に説明する。図2は、本実施の形態における評価装置を具体的に示すブロック図である。
図2に示すように、本実施の形態においては、評価装置10には、個人情報を管理するデータベース20と、評価者が利用する端末装置30とがネットワーク等を介して接続されている。
データベース20は、個人情報を格納している。また、データベース20は、匿名化された個人情報を格納していても良い。個人情報は、例えば、住所、氏名、電話番号、年齢、国籍といった、個人を特定する可能性を備えた準識別子を有しており、複数の準識別子で構成されている。また、匿名化は、例えば、設定されたレベルの値がAである場合に、準識別子が共通する個人がA人存在するように、準識別子の内容を変更することによって行なわれる。
また、図2に示すように、本実施の形態においては、評価装置10は、上述した個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に加えて、データ取得部14とデータ出力部15とを備えている。
データ取得部14は、データベース20から、個人情報又は匿名化された個人情報を対象データとして取得する。データ出力部15は、個人識別リスク評価部11から得られた個人識別リスクと、個人特定リスク評価部12から得られた個人特定リスクと、有用性評価部13から得られた有用性とを、端末装置30に送信する。これにより、端末装置30の画面上には、個人情報の各リスクと有用性とが表示される。
個人識別リスク評価部11は、本実施の形態では、対象データ中の個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、個人識別リスクを評価する。つまり、個人識別リスク評価部11は、準識別子から識別できるレコード数をカウントし、誰かのレコードに識別できるレコードがいくつ存在するかを、個人識別リスクとして算出する。
個人特定リスク評価部12は、本実施の形態では、個人識別リスク評価部12によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。つまり、個人特定リスク評価部12は、個人識別の危険性の評価結果に対して、更に攻撃者がどの程度準識別子をしっているかを考慮して、個人特定リスクを算出する。
有用性評価部13は、本実施の形態では、対象データのレコード数と、対象データに対して匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価する。具体的には、有用性評価部13は、対象データの匿名化前のレコード数と、匿名化後のレコード数とを比較し、匿名化によって、どの程度のレコードが削除されたかを評価する。
[装置動作]
次に、本実施の形態における評価装置10の動作の一例について図3を用いて説明する。図3は、本発明の実施の形態における評価装置の動作を示すフロー図である。また、以下の説明においては、適宜図1および図2を参酌する。また、本実施の形態では、評価装置10を動作させることによって、評価方法が実施される。よって、本実施の形態における評価方法の説明は、以下の評価装置10の動作説明に代える。
次に、本実施の形態における評価装置10の動作の一例について図3を用いて説明する。図3は、本発明の実施の形態における評価装置の動作を示すフロー図である。また、以下の説明においては、適宜図1および図2を参酌する。また、本実施の形態では、評価装置10を動作させることによって、評価方法が実施される。よって、本実施の形態における評価方法の説明は、以下の評価装置10の動作説明に代える。
図3に示すように、最初に、データ取得部14は、データベース20から、対象データとして個人情報を取得する(ステップA1)。また、データ取得部14は、取得した対象データを、個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に入力する。
次に、個人識別リスク評価部11は、ステップA1で取得された対象データから、個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する(ステップA2)。また、個人識別リスク評価部11は、結果をデータ出力部15に入力する。
次に、個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する(ステップA3)。また、個人特定リスク評価部12も、結果をデータ出力部15に入力する。
次に、有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する(ステップA4)。また、有用性評価部13も、結果をデータ出力部15に入力する。
次に、データ出力部15は、ステップA2からステップA4で行なわれた評価を端末措置30に出力する(ステップA5)。
続いて、上述したステップA2〜A4それぞれについて、以下により詳細に説明する。
[ステップA2:個人識別リスク評価処理]
最初に、図4〜図7を用いて、個人識別リスク評価部11による個人識別リスクの評価処理について説明する。図4は、本発明の実施形態において得られた個人識別リスクの評価の一例を示す図である。図5は、本発明の実施形態で行なわれる個人識別リスクの評価処理の一例を説明する図であり、図5(a)〜(c)は一連の処理の流れを示している。図6は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図6(a)〜(d)は一連の処理の流れを示している。図7は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図7(a)〜(e)は一連の処理の流れを示している。
最初に、図4〜図7を用いて、個人識別リスク評価部11による個人識別リスクの評価処理について説明する。図4は、本発明の実施形態において得られた個人識別リスクの評価の一例を示す図である。図5は、本発明の実施形態で行なわれる個人識別リスクの評価処理の一例を説明する図であり、図5(a)〜(c)は一連の処理の流れを示している。図6は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図6(a)〜(d)は一連の処理の流れを示している。図7は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図7(a)〜(e)は一連の処理の流れを示している。
図4に示すように、本実施の形態では、個人識別リスク評価部11は、個人情報が記録されたテーブルの特定の準識別子の部分におけるk匿名化処理されて得られたデータが、対象データとなっている。つまり、図4において、一行目の行は、「匿名化後テーブル_パターン1」の「年齢」及び「性別」のデータに対して、k=10でk匿名化処理を行なうことで得られた匿名化後データが、対象データであることを示している。
また、個人識別リスク評価部11は、対象データ中の特定の準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求める。図4に示すように、この「人数」が、個人識別リスクの評価となる。
具体的には、例えば、対象データにおいて、特定の準識別子が、単一値の組み合わせであるとする。「単一値」は、単一属性のデータであり、年齢、性別といった個人が単一の値しか持たない準識別子である。この場合、図5に示すように、個人識別リスク評価部11は、対象データ(図5(a)参照)から、識別子Ql1及びQl2の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図5(b)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図5(c)参照)。
また、例えば、対象データにおいて、特定の識別子が集合値であるとする。「集合値」は、複合属性のデータであり、病気の種類、地域(職場の場所、居住地)、といった個人が複数の値を持つ可能性がある準識別子である。この場合、図6に示すように、個人識別リスク評価部11は、対象データ(図6(a)参照)から、ユーザ毎に、該当する識別子「地域」の組み合わせを特定する(図6(b)参照)。次に、個人識別リスク評価部11は、識別子「地域」の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図6(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図6(d)参照)。
また、例えば、対象データにおいて、特定の識別子が単一値と集合値との組合せであるとする。この場合、図7に示すように、個人識別リスク評価部11は、まず、対象データの集合値の部分(図7(a)参照)と、対象データの単一値の部分(図7(b)参照)とを結合する(図7(c)参照)。次に、個人識別リスク評価部11は、識別子qi1と識別子「地域」との組み合わせ毎に、該当するユーザの数(レコード数)を求める(図7(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図7(d)参照)。
[ステップA3:個人特定リスク評価処理]
続いて、図8を用いて、個人特定リスク評価部12による個人特定リスクの評価処理について説明する。図8は、本発明の実施の形態において行なわれる個人特定リスクの評価処理を説明するための図であり、個人情報の一例を示している。
続いて、図8を用いて、個人特定リスク評価部12による個人特定リスクの評価処理について説明する。図8は、本発明の実施の形態において行なわれる個人特定リスクの評価処理を説明するための図であり、個人情報の一例を示している。
個人特定リスク評価部12は、個人識別リスク評価部11によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。具体的には、個人特定リスク評価部12は、例えば、下記の数1に示す式によって、個人特定リスクfを算出する。
(数1)
f=(1/k)×r
f=(1/k)×r
上記数1において、kは、個人識別リスク評価部11によって算出された個人識別リスクである。rは、各準識別子から個人が特定される危険性を示す係数である。以下、rを「評価パラメータ」と表記する。
評価パラメータは、準識別子の内容、準識別子の値、対象データの利用先等に基づいて、適宜設定される。例えば、個人情報が図5に示すものであるとする。
図8の例では、準識別子である、年齢、性別、診療年月、傷病は、外部の別のデータでも使用されている可能性があり、このうち、年齢及び性別は、傷病よりも別のデータに存在する可能性が高いと考えられる。従って、対象データにおける特定の識別子が傷病の場合は、特定の識別子が年齢及び性別の場合に比べて、個人が特定される可能性は低くなるので、評価パラメータrの値も小さく設定される。
また、対象データデータにおける特定の識別子が傷病である場合において、心臓病は、風邪よりも別のデータに存在する可能性が低いと考える。従って、対象データにおける特定の識別子が傷病である場合であっても、風邪のレコード数が比較的多い場合は、評価パラメータrの値は大きく設定され、風邪のレコード数が比較的少ない場合は、評価パラメータrの値は小さく設定される。
また、個人特定リスク評価部12は、下記の数2に示す式によって、個人特定リスクfを算出することもできる。
(数2)
f=k×R
f=k×R
上記数2において、kは、数1と同様に、個人識別リスク評価部11によって算出された個人識別リスクである。Rは、共有率である。共有率は、対象となる識別子を攻撃者がどのくらいの確率で事前知識として知っているかの可能性を示しており、0以上1以下の範囲で設定される。例えば、識別子が性別のみの場合は、知られやすいので0.9に設定され、年齢のみの場合は0.7に設定される。また、識別子が年齢と性別との組み合わせの場合は、多少知られにくくなるので、例えば、0.5に設定される。
[ステップA4:有用性評価処理]
次に、図9を用いて、有用性評価部13による有用性の評価処理について説明する。図9は、本発明の実施の形態で行なわれた有用性の評価の一例を示す図である。図9において、横軸は、k匿名化処理におけるkの値を示し、縦軸は、k匿名化処理の前後におけるレコードの減少率を示している。
次に、図9を用いて、有用性評価部13による有用性の評価処理について説明する。図9は、本発明の実施の形態で行なわれた有用性の評価の一例を示す図である。図9において、横軸は、k匿名化処理におけるkの値を示し、縦軸は、k匿名化処理の前後におけるレコードの減少率を示している。
図9に示すように、有用性評価部13は、対象データのレコード数と、対象データに対してk匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価している。具体的には、有用性評価部13は、kの値を変えて、対象データの匿名化前のレコード数に対する、k匿名化後のレコード数の割合(減少率)を算出し、算出結果をグラフ化する。
このように、図9に示すグラフによれば、評価者は、k匿名化処理によってどの程度のレコードが削除されるのかを視覚で把握することができる。この結果、評価者は、k匿名化後の評価対象データの有用性を把握できる。
[実施の形態における効果]
以上のように、本実施の形態よれば、個人特定リスク、個人識別リスク、有用性を評価するツールを提供でき、リスクと有用性とのバランスのとれたガイドライン策定に貢献することが可能となる。
以上のように、本実施の形態よれば、個人特定リスク、個人識別リスク、有用性を評価するツールを提供でき、リスクと有用性とのバランスのとれたガイドライン策定に貢献することが可能となる。
[プログラム]
本実施の形態におけるプログラムは、コンピュータに、図3に示すステップA1〜A5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における評価装置10と評価方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15として機能し、処理を行なう。
本実施の形態におけるプログラムは、コンピュータに、図3に示すステップA1〜A5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における評価装置10と評価方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15として機能し、処理を行なう。
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15のいずれかとして機能しても良い。
ここで、本実施の形態におけるプログラムを実行することによって、評価装置10を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態における評価装置を実現するコンピュータの一例を示すブロック図である。
図10に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
また、本実施の形態における評価装置10は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、評価装置10は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。本発明は、個人情報の匿名化求められる種々の分野において有用である。
10 評価装置
11 個人識別リスク評価部
12 個人特定リスク評価部
13 有用性評価部
14 データ取得部
15 データ出力部
20 データベース
30 端末装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
11 個人識別リスク評価部
12 個人特定リスク評価部
13 有用性評価部
14 データ取得部
15 データ出力部
20 データベース
30 端末装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
Claims (12)
- 複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価装置であって、
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする評価装置。 - 前記個人識別リスク評価部は、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項1に記載の評価装置。 - 個人特定リスク評価部は、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項2に記載の評価装置。 - 有用性評価部は、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項1〜3のいずれかに記載の評価装置。 - 複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価方法であって、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を有することを特徴とする評価方法。 - 前記(a)のステップにおいて、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項5に記載の評価方法。 - 前記(b)のステップにおいて、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項6に記載の評価方法。 - 前記(c)のステップにおいて、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項5〜7のいずれかに記載の評価方法。 - コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させる、プログラム。 - 前記(a)のステップにおいて、前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、前記個人識別リスクを評価する、
請求項9に記載のプログラム。 - 前記(b)のステップにおいて、前記個人識別リスクと、前記準識別子毎に予め設定された、当該準識別子から個人が特定される危険性を示す係数とに基づいて、前記個人特定リスクを評価する、
請求項10に記載のプログラム。 - 前記(c)のステップにおいて、前記対象データのレコード数と、前記対象データに対して匿名化処理が行なわれた場合の前記対象データのレコード数とを用いて、前記有用性を評価する、
請求項9〜11のいずれかに記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126008A JP6711519B2 (ja) | 2016-06-24 | 2016-06-24 | 評価装置、評価方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126008A JP6711519B2 (ja) | 2016-06-24 | 2016-06-24 | 評価装置、評価方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017228255A true JP2017228255A (ja) | 2017-12-28 |
| JP6711519B2 JP6711519B2 (ja) | 2020-06-17 |
Family
ID=60889290
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016126008A Active JP6711519B2 (ja) | 2016-06-24 | 2016-06-24 | 評価装置、評価方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6711519B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110516967A (zh) * | 2019-08-28 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 一种信息评估的方法以及相关装置 |
| JP2019211899A (ja) * | 2018-06-01 | 2019-12-12 | 日本電気株式会社 | 処理装置、処理方法及びプログラム |
| KR20200122195A (ko) * | 2019-04-17 | 2020-10-27 | 연세대학교 산학협력단 | 비정형 트랜잭션 비식별 데이터의 품질 측정 방법 및 장치 |
| JP2022077592A (ja) * | 2020-11-12 | 2022-05-24 | キヤノン株式会社 | 情報処理装置、情報処理方法、情報処理システムおよびプログラム |
| DE112020005679T5 (de) | 2020-01-14 | 2022-09-29 | Mitsubishi Electric Corporation | Anonymisierungsverarbeitung-evaluierungssystem, anonymisierungsverarbeitung-evaluierungsverfahren und anonymisierungsverarbeitung-evaluierungsprogramm |
| WO2023074465A1 (ja) * | 2021-10-27 | 2023-05-04 | 株式会社日立製作所 | データ価値評価システム、データ価値評価方法 |
| US12608669B2 (en) | 2023-07-21 | 2026-04-21 | Toyota Jidosha Kabushiki Kaisha | Information processing device for presenting information regarding a risk of providing data and transmitting the data after consent |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014229039A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | プライバシ保護型データ提供システム |
| WO2016067566A1 (ja) * | 2014-10-29 | 2016-05-06 | 日本電気株式会社 | 情報処理装置、情報処理方法、及び、記録媒体 |
-
2016
- 2016-06-24 JP JP2016126008A patent/JP6711519B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014229039A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | プライバシ保護型データ提供システム |
| WO2016067566A1 (ja) * | 2014-10-29 | 2016-05-06 | 日本電気株式会社 | 情報処理装置、情報処理方法、及び、記録媒体 |
Non-Patent Citations (1)
| Title |
|---|
| 菊池 浩明: "匿名加工・再識別コンテストIce&Fireの設計", コンピュータセキュリティシンポジウム2015 論文集, vol. 2015, no. 3, JPN6020004171, 14 October 2015 (2015-10-14), JP, pages 363 - 370, ISSN: 0004208183 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019211899A (ja) * | 2018-06-01 | 2019-12-12 | 日本電気株式会社 | 処理装置、処理方法及びプログラム |
| JP7070994B2 (ja) | 2018-06-01 | 2022-05-18 | 日本電気株式会社 | 処理装置、処理方法及びプログラム |
| KR20200122195A (ko) * | 2019-04-17 | 2020-10-27 | 연세대학교 산학협력단 | 비정형 트랜잭션 비식별 데이터의 품질 측정 방법 및 장치 |
| KR102218374B1 (ko) * | 2019-04-17 | 2021-02-19 | 연세대학교 산학협력단 | 비정형 트랜잭션 비식별 데이터의 품질 측정 방법 및 장치 |
| CN110516967A (zh) * | 2019-08-28 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 一种信息评估的方法以及相关装置 |
| CN110516967B (zh) * | 2019-08-28 | 2024-05-10 | 腾讯科技(深圳)有限公司 | 一种信息评估的方法以及相关装置 |
| DE112020005679T5 (de) | 2020-01-14 | 2022-09-29 | Mitsubishi Electric Corporation | Anonymisierungsverarbeitung-evaluierungssystem, anonymisierungsverarbeitung-evaluierungsverfahren und anonymisierungsverarbeitung-evaluierungsprogramm |
| JP2022077592A (ja) * | 2020-11-12 | 2022-05-24 | キヤノン株式会社 | 情報処理装置、情報処理方法、情報処理システムおよびプログラム |
| JP7642350B2 (ja) | 2020-11-12 | 2025-03-10 | キヤノン株式会社 | 情報処理装置、情報処理方法、情報処理システムおよびプログラム |
| WO2023074465A1 (ja) * | 2021-10-27 | 2023-05-04 | 株式会社日立製作所 | データ価値評価システム、データ価値評価方法 |
| WO2023073841A1 (ja) * | 2021-10-27 | 2023-05-04 | 株式会社日立製作所 | データ価値評価システム、データ価値評価方法 |
| JPWO2023074465A1 (ja) * | 2021-10-27 | 2023-05-04 | ||
| US12608669B2 (en) | 2023-07-21 | 2026-04-21 | Toyota Jidosha Kabushiki Kaisha | Information processing device for presenting information regarding a risk of providing data and transmitting the data after consent |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6711519B2 (ja) | 2020-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6711519B2 (ja) | 評価装置、評価方法及びプログラム | |
| JP6007969B2 (ja) | 匿名化装置及び匿名化方法 | |
| US10817621B2 (en) | Anonymization processing device, anonymization processing method, and program | |
| US9892278B2 (en) | Focused personal identifying information redaction | |
| US9230132B2 (en) | Anonymization for data having a relational part and sequential part | |
| CN104182694B (zh) | 隐私保护型数据提供系统 | |
| US9990515B2 (en) | Method of re-identification risk measurement and suppression on a longitudinal dataset | |
| JP6597066B2 (ja) | 個人情報匿名化方法、プログラム、及び情報処理装置 | |
| US11664098B2 (en) | Determining journalist risk of a dataset using population equivalence class distribution estimation | |
| US20130018921A1 (en) | Need-to-know information access using quantified risk | |
| CN117407908A (zh) | 一种对多关系数据集进行匿名化的方法 | |
| WO2019168144A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 | |
| JP2016126579A (ja) | データ秘匿装置、データ秘匿プログラムおよびデータ秘匿方法 | |
| CN115691731B (zh) | 用于提供匿名患者数据集的方法和系统 | |
| JP6747438B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| JP2019211899A (ja) | 処理装置、処理方法及びプログラム | |
| WO2017203672A1 (ja) | アイテム推奨方法、アイテム推奨プログラムおよびアイテム推奨装置 | |
| JP6771014B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US20240202623A1 (en) | Human digital twinning method and system of emotional regulation for emotional labor in workplaces using multi-modal sensor data | |
| JP6610334B2 (ja) | 漏洩リスク提供装置、漏洩リスク提供方法および漏洩リスク提供プログラム | |
| JP6879107B2 (ja) | 匿名性評価装置、匿名性評価方法および匿名性評価プログラム | |
| JP2024084359A (ja) | 表示制御方法及び表示制御プログラム | |
| JP2015170040A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP5875535B2 (ja) | 匿名化装置、匿名化方法、プログラム | |
| JP5875536B2 (ja) | 匿名化装置、匿名化方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200330 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200521 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6711519 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |