図面 (/)

技術 情報処理装置、及び、データ処理方法

出願人 日本電気株式会社
発明者 宮川伸也
出願日 2013年6月25日 (6年8ヶ月経過) 出願番号 2013-132641
公開日 2015年1月15日 (5年1ヶ月経過) 公開番号 2015-007885
状態 特許登録済
技術分野 記憶装置の機密保護 医療・福祉事務
主要キーワード 回数範囲 準識別子 記憶媒体読み取り装置 全集合 RDBMS 都市計画 保護状態 匿名化処理
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2015年1月15日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題

パーソナル情報が追加及び削除されるデータベースにおいて、パーソナル情報が表す個人プライバシーを保護する。

解決手段

個人に関連する属性値を含むパーソナル情報とパーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、を含む情報処理装置

概要

背景

近年、サービス事業者情報処理装置は、カルテ情報位置情報等の個人の特徴や行動を表す情報であるパーソナル情報収集し、活用している。そして、サービス事業者の情報処理装置が収集及び活用するパーソナル情報は、増え続けている。

また、サービス事業者が収集したパーソナル情報は、第三者に提供又は公開される。公開された情報は、例えば、医学研究、創薬開発、都市計画、及びマーケティングに活用される。しかし、プライバシー侵害される危険性は、パーソナル情報を活用できる第三者が増える程、高まる。

匿名化技術は、プライバシーが侵害される問題を解決し、第三者にパーソナル情報を公開できるようにする技術の一つである。

つまり、匿名化技術は、第三者が個人のプライバシーを侵害しないでパーソナル情報を活用できるように、個人のプライバシーを保護する技術である。

パーソナル情報は、個人を識別できる識別子と、個人にとって知られたくない情報(センシティブ属性)とを含む。

そこで、本発明に関連する匿名化技術は、パーソナル情報から、個人を識別できる識別子を削除する。

しかし、パーソナル情報は、単独では個人を識別できなくても、組合せを基に個人を識別できる情報(以下、準識別子と言う)を含む場合がある。

そこで、本発明に関連する匿名化技術は、準識別子を加工(匿名化)し、パーソナル情報の集合から、個人に関連するパーソナル情報を推定(識別)できないようにする。

つまり、本発明に関連する匿名化技術は、匿名性を満たすように、準識別子を加工(匿名化)する。

ここで、匿名性は、個人を推定できない程度を示す指標である。

例えば、k−匿名性及びl−多様性は、匿名性として、よく知られている(例えば、特許文献1を参照)。

k−匿名性は、同じ準識別子を持つパーソナル情報が「k個」以上存在することを表す指標である。k−匿名性が保証されたパーソナル情報の集合は、同じ準識別子を持つパーソナル情報を、少なくとも「k個」含む。そのため、第三者は、集合の中から個人に関連するパーソナル情報を、特定できない。

l−多様性は、同じ準識別子を持つパーソナル情報のセンシティブ属性の値の種類が「l通り」以上存在することを表す指標である。l−多様性が保証されたパーソナル情報の集合は、センシティブ属性の値を少なくとも「l通り」含む。そのため、第三者は、集合の中から個人のセンシティブ属性の値を、推定できない。

図面を参照し、k−匿名性とl−多様性とをさらに説明する。

図36に示すデータ9001は、患者病状記録の一例を示す図である。

図36に示すデータ9001の病状記録において、ZIPコード年齢国籍が、準識別子とする。また、病状が、センシティブ属性とする。

そして、本発明に関連する情報処理装置は、匿名化として、ZIPコードと年齢との任意の桁を伏せ、国籍の国名を伏せるとする。

図37に示すデータ9002は、本発明に関連する情報処理装置が、図36に示すデータ9001の病状記録を匿名化した一例を示す図である。図37の「*」は、匿名化され、伏せられたデータを示す。

本発明に関連する情報処理装置は、ZIPコード、年齢、国籍を匿名化し、同一の準識別子を持つ2つグループを形成する。

図37に示す「k」は、「k−匿名性」の「k」を示し、グループに属する個人(この例では患者)の数である。図37では、いずれのグループも、「k=4」である。つまり、本発明に関連する情報処理装置は、「4−匿名性」を保証している。そのため、第三者(閲覧者)は、どのレコードがどの個人を表す情報であるのかを特定できない。

図37に示す「l」は、「l−多様性」の「l」を示し、グループに属する個人のセンシティブ属性(この例では病状)の種類(又は値)の数である。図37では、患者1〜4が属するグループのl−多様性は、「l=2」である。また、患者5〜8が属するグループのl−多様性は、「l=1」である。

例えば、閲覧者が、ある患者のZIPコードが148**で、年齢が30代であることを知ったとする。すると、閲覧者は、図37のデータ9002を基に、患者の病状が「癌」であることが分かる。

しかし、患者1〜4が属するグループは、「2−多様性」を保証されている。そのため、閲覧者は、患者のZIPコード及び年齢(例えば、「ZIPコードが148**で30代である」、又は、「ZIPコードが130**で20代である」)を知っても、患者1〜4のグループを基に、病状(センシティブ属性の種類又は値)を特定できない。このように、本発明に関連する情報処理装置は、患者のZIPコードと年齢とを知る閲覧者に、病状が特定されることを、防げる。

また、その他の匿名性の指標として、t−近似性及びm−不変性が、知られている。

t−近接性は、グループ間のセンシティブ属性の値の分布における距離と、全属性の値の分布における距離とが、「t」以下であることを保証する指標である。

m−不変性は、データの逐次開示において、同じ準識別子の組合せのレコードが「m個」以上あり、全てのレコードで異なるセンシティブ属性の値を持つことを保証する指標である。

実際の運用を想定すると、パーソナル情報は、パーソナル情報を記憶するデータベースに追加され、又は、データベースから削除される。

例えば、新たな患者が来院した場合、新たな患者のカルテ(パーソナル情報)が、患者のカルテを蓄積する病院のデータベースに、追加される。また、治癒した患者又は退院した患者が発生した場合、その患者のカルテ(パーソナル情報)は、病院のデータベースから、削除される。

あるいは、会員入会した場合、会員データ(パーソナル情報)が、会員データベースに、追加される。会員が退会した場合、会員データ(パーソナル情報)は、会員データベースから、削除される。

パーソナル情報が追加・削除されるデータベースにおいて、m−不変性を確保するための匿名化システムが、提案されている(例えば、非特許文献1を参照)。

削除されたパーソナル情報のセンシティブ属性の値が、新たに追加されたパーソナル情報のセンシティブ属性の値に一致しない場合、非特許文献1に記載の匿名化システムは、ダミーとなるパーソナル情報を、データベースに、追加する。データベースからパーソナル情報が削除された場合、非特許文献1に記載の匿名化システムは、ダミー情報を追加する。このような動作を用いて、非特許文献1に記載の匿名化システムは、データベースのパーソナル情報を用いた個人の特定を防ぎ、個人のプライバシーを保護する。

一方、準識別子を加工して、同じ準識別子からなる匿名化グループを生成する場合、特許文献1に記載の匿名化システムは、匿名化処理で得られた各グループ間のデータの移動を流量とする。そして、特許文献1に記載の匿名化システムは、流量を所定の値以下に抑えるように、データの匿名性を定義する。そして、特許文献1に記載の匿名化システムは、定義した匿名性を満たすように、準識別子を加工して、データを匿名化する。

つまり、特許文献1に記載の匿名化システムは、匿名化グループ間のデータの移動を抑制する。匿名化グループ間でのデータ(パーソナル情報)の移動の抑制は、匿名化の処理における準識別子が変更となるデータ(パーソナル情報)の数を減らす。変更となるパーソナル情報の数が減るため、特許文献1に記載の匿名化システムは、データベースに存在するパーソナル情報を用いた個人の特定を防ぎ、個人のプライバシーを保護する。

概要

パーソナル情報が追加及び削除されるデータベースにおいて、パーソナル情報が表す個人のプライバシーを保護する。 個人に関連する属性値を含むパーソナル情報とパーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、を含む情報処理装置。

目的

本発明の目的は、上記問題点を解決し、パーソナル情報が追加・削除されるデータベースにおいて、パーソナル情報が表す個人の特定を困難にする情報処理装置、及び、データ処理方法を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、を含む情報処理装置

請求項2

前記変換手段の変換が前記パーソナル情報の匿名化処理である請求項1に記載の情報処理装置

請求項3

前記パーソナル情報と、前記パーソナル情報の有効期間との組を記憶するパーソナル有効情報記憶手段と、前記変換後のパーソナル情報を記憶する結果記憶手段と、を含む請求項1又は請求項2に記載の情報処理装置。

請求項4

変換する前のパーソナル情報が前記パーソナル有効情報記憶手段に記憶されていない前記変換後のパーソナル情報を前記結果記憶手段から削除する削除手段を含み、前記抽出手段が、前記変換手段が変換していない前記パーソナル有効情報記憶手段に記憶されているパーソナル情報を要素とする集合を抽出する請求項3に記載の情報処理装置。

請求項5

前記抽出手段が、所定の期間より長い有効期間のパーソナル情報の集合と所定の期間より短い有効期間のパーソナル情報の集合とを抽出し、前記変換手段が、有効期間が短いパーソナル情報の集合に含まれるパーソナル情報の少なくとも一部と前記変換後のパーソナル情報の少なくとも一部とが同様の変換後のパーソナル情報となるように、前記パーソナル情報の一部及び前記変換後のパーソナル情報の一部を変換する請求項1乃至請求項4のいずれか1項に記載の情報処理装置。

請求項6

前記抽出手段が、前記所定の期間より長い有効期間のパーソナル情報の集合を複数抽出し、前記変換手段が、前記抽出した複数の集合毎に前記パーソナル情報を変換する請求項5に記載の情報処理装置。

請求項7

パーソナル情報と、パーソナル情報の性質と有効期間との相関と、を基に、前記パーソナル情報の有効期間を予測する予測手段を含む請求項1乃至請求項6のいずれか1項に記載の情報処理装置。

請求項8

前記予測手段が、前記パーソナル情報に含まれる属性値を用いて有効期間を予測する請求項7に記載の情報処理装置。

請求項9

前記パーソナル情報の性質が階層構造を備え、前記性質の一部に有効期間を付与する請求項7又は請求項8に記載の情報処理装置。

請求項10

前記予測手段が、前記パーソナル情報の性質の階層構造を辿って前記有効期間を検索する請求項9に記載の情報処理装置。

請求項11

前記パーソナル情報が記憶された時刻と、前記パーソナル情報が削除された時刻とを基に、前記パーソナル情報の有効期間を分析する分析手段、を含む請求項1乃至請求項10のいずれか1項に記載の情報処理装置。

請求項12

前記分析手段が、前記パーソナル情報と同様の属性値を含むパーソナル情報の有効期間を基に、有効期間を分析する請求項11に記載の情報処理装置。

請求項13

個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出し、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換するデータ処理方法

請求項14

個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する処理と、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する処理とをコンピュータに実行させるプログラム

技術分野

0001

本発明は、情報の保護に関し、特に、追加又は削除される情報を保護する情報処理装置、及び、データ処理方法に関する。

背景技術

0002

近年、サービス事業者の情報処理装置は、カルテ情報位置情報等の個人の特徴や行動を表す情報であるパーソナル情報収集し、活用している。そして、サービス事業者の情報処理装置が収集及び活用するパーソナル情報は、増え続けている。

0003

また、サービス事業者が収集したパーソナル情報は、第三者に提供又は公開される。公開された情報は、例えば、医学研究、創薬開発、都市計画、及びマーケティングに活用される。しかし、プライバシー侵害される危険性は、パーソナル情報を活用できる第三者が増える程、高まる。

0004

匿名化技術は、プライバシーが侵害される問題を解決し、第三者にパーソナル情報を公開できるようにする技術の一つである。

0005

つまり、匿名化技術は、第三者が個人のプライバシーを侵害しないでパーソナル情報を活用できるように、個人のプライバシーを保護する技術である。

0006

パーソナル情報は、個人を識別できる識別子と、個人にとって知られたくない情報(センシティブ属性)とを含む。

0007

そこで、本発明に関連する匿名化技術は、パーソナル情報から、個人を識別できる識別子を削除する。

0008

しかし、パーソナル情報は、単独では個人を識別できなくても、組合せを基に個人を識別できる情報(以下、準識別子と言う)を含む場合がある。

0009

そこで、本発明に関連する匿名化技術は、準識別子を加工(匿名化)し、パーソナル情報の集合から、個人に関連するパーソナル情報を推定(識別)できないようにする。

0010

つまり、本発明に関連する匿名化技術は、匿名性を満たすように、準識別子を加工(匿名化)する。

0011

ここで、匿名性は、個人を推定できない程度を示す指標である。

0012

例えば、k−匿名性及びl−多様性は、匿名性として、よく知られている(例えば、特許文献1を参照)。

0013

k−匿名性は、同じ準識別子を持つパーソナル情報が「k個」以上存在することを表す指標である。k−匿名性が保証されたパーソナル情報の集合は、同じ準識別子を持つパーソナル情報を、少なくとも「k個」含む。そのため、第三者は、集合の中から個人に関連するパーソナル情報を、特定できない。

0014

l−多様性は、同じ準識別子を持つパーソナル情報のセンシティブ属性の値の種類が「l通り」以上存在することを表す指標である。l−多様性が保証されたパーソナル情報の集合は、センシティブ属性の値を少なくとも「l通り」含む。そのため、第三者は、集合の中から個人のセンシティブ属性の値を、推定できない。

0015

図面を参照し、k−匿名性とl−多様性とをさらに説明する。

0016

図36に示すデータ9001は、患者病状記録の一例を示す図である。

0017

図36に示すデータ9001の病状記録において、ZIPコード年齢国籍が、準識別子とする。また、病状が、センシティブ属性とする。

0018

そして、本発明に関連する情報処理装置は、匿名化として、ZIPコードと年齢との任意の桁を伏せ、国籍の国名を伏せるとする。

0019

図37に示すデータ9002は、本発明に関連する情報処理装置が、図36に示すデータ9001の病状記録を匿名化した一例を示す図である。図37の「*」は、匿名化され、伏せられたデータを示す。

0020

本発明に関連する情報処理装置は、ZIPコード、年齢、国籍を匿名化し、同一の準識別子を持つ2つグループを形成する。

0021

図37に示す「k」は、「k−匿名性」の「k」を示し、グループに属する個人(この例では患者)の数である。図37では、いずれのグループも、「k=4」である。つまり、本発明に関連する情報処理装置は、「4−匿名性」を保証している。そのため、第三者(閲覧者)は、どのレコードがどの個人を表す情報であるのかを特定できない。

0022

図37に示す「l」は、「l−多様性」の「l」を示し、グループに属する個人のセンシティブ属性(この例では病状)の種類(又は値)の数である。図37では、患者1〜4が属するグループのl−多様性は、「l=2」である。また、患者5〜8が属するグループのl−多様性は、「l=1」である。

0023

例えば、閲覧者が、ある患者のZIPコードが148**で、年齢が30代であることを知ったとする。すると、閲覧者は、図37のデータ9002を基に、患者の病状が「癌」であることが分かる。

0024

しかし、患者1〜4が属するグループは、「2−多様性」を保証されている。そのため、閲覧者は、患者のZIPコード及び年齢(例えば、「ZIPコードが148**で30代である」、又は、「ZIPコードが130**で20代である」)を知っても、患者1〜4のグループを基に、病状(センシティブ属性の種類又は値)を特定できない。このように、本発明に関連する情報処理装置は、患者のZIPコードと年齢とを知る閲覧者に、病状が特定されることを、防げる。

0025

また、その他の匿名性の指標として、t−近似性及びm−不変性が、知られている。

0026

t−近接性は、グループ間のセンシティブ属性の値の分布における距離と、全属性の値の分布における距離とが、「t」以下であることを保証する指標である。

0027

m−不変性は、データの逐次開示において、同じ準識別子の組合せのレコードが「m個」以上あり、全てのレコードで異なるセンシティブ属性の値を持つことを保証する指標である。

0028

実際の運用を想定すると、パーソナル情報は、パーソナル情報を記憶するデータベースに追加され、又は、データベースから削除される。

0029

例えば、新たな患者が来院した場合、新たな患者のカルテ(パーソナル情報)が、患者のカルテを蓄積する病院のデータベースに、追加される。また、治癒した患者又は退院した患者が発生した場合、その患者のカルテ(パーソナル情報)は、病院のデータベースから、削除される。

0030

あるいは、会員入会した場合、会員データ(パーソナル情報)が、会員データベースに、追加される。会員が退会した場合、会員データ(パーソナル情報)は、会員データベースから、削除される。

0031

パーソナル情報が追加・削除されるデータベースにおいて、m−不変性を確保するための匿名化システムが、提案されている(例えば、非特許文献1を参照)。

0032

削除されたパーソナル情報のセンシティブ属性の値が、新たに追加されたパーソナル情報のセンシティブ属性の値に一致しない場合、非特許文献1に記載の匿名化システムは、ダミーとなるパーソナル情報を、データベースに、追加する。データベースからパーソナル情報が削除された場合、非特許文献1に記載の匿名化システムは、ダミー情報を追加する。このような動作を用いて、非特許文献1に記載の匿名化システムは、データベースのパーソナル情報を用いた個人の特定を防ぎ、個人のプライバシーを保護する。

0033

一方、準識別子を加工して、同じ準識別子からなる匿名化グループを生成する場合、特許文献1に記載の匿名化システムは、匿名化処理で得られた各グループ間のデータの移動を流量とする。そして、特許文献1に記載の匿名化システムは、流量を所定の値以下に抑えるように、データの匿名性を定義する。そして、特許文献1に記載の匿名化システムは、定義した匿名性を満たすように、準識別子を加工して、データを匿名化する。

0034

つまり、特許文献1に記載の匿名化システムは、匿名化グループ間のデータの移動を抑制する。匿名化グループ間でのデータ(パーソナル情報)の移動の抑制は、匿名化の処理における準識別子が変更となるデータ(パーソナル情報)の数を減らす。変更となるパーソナル情報の数が減るため、特許文献1に記載の匿名化システムは、データベースに存在するパーソナル情報を用いた個人の特定を防ぎ、個人のプライバシーを保護する。

0035

特開2011−170632

先行技術

0036

Xiaokui Xiao, Yufei Tao, "M-Invariance: TowardsPrivacy Preserving Re-publication of Dynamic Datasets", SIGMOD'07, Proceedings of the 2007ACMSIGMOD international conference on Management of data, Pages 689-700, 2007.

発明が解決しようとする課題

0037

しかし、上述した非特許文献1に記載された匿名化システムは、特定個人についてパーソナル情報の追加又は削除の事実を知る攻撃者に対して、特定個人のパーソナル情報の特定を防げないという問題点があった。さらに、非特許文献1に記載された匿名化システムは、ダミーのパーソナル情報を追加するため、データが不正確になるという問題点があった。

0038

また、上述した特許文献1に記載された匿名化システムは、データベースに存在し続けるパーソナル情報の中で、個人の特定の防止を保証できないパーソナル情報が発生する可能性があるという問題点があった。さらに、特許文献1に記載された匿名化システムは、特定個人についてのパーソナル情報の追加又は削除の事実を知る攻撃者に対して、特定個人のパーソナル情報の特定を防げないという問題があった。

0039

本発明の目的は、上記問題点を解決し、パーソナル情報が追加・削除されるデータベースにおいて、パーソナル情報が表す個人の特定を困難にする情報処理装置、及び、データ処理方法を提供することにある。

課題を解決するための手段

0040

本発明の情報処理装置は、個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、を含む。

0041

本発明のデータ処理方法は、個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出し、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する。

0042

本発明のプログラムは、個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する処理と、前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する処理とをコンピュータに実行させる。

発明の効果

0043

本発明によれば、パーソナル情報が追加・削除されるデータベースにおいて、パーソナル情報が表す特定個人のプライバシーの保護を提供することができる。

図面の簡単な説明

0044

図1は、本発明における第1の実施形態に係る情報処理装置に構成の一例を示すブロック図である。
図2は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図3は、第1の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図4は、第1の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図5は、第1の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図6は、第1の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図7は、第1の実施形態に係る情報処理装置の別の構成の一例を示すブロック図である。
図8は、第1の実施形態に係る情報処理装置の別の構成の一例を示すブロック図である。
図9は、第2の実施形態に係る情報処理装置に構成の一例を示すブロック図である。
図10は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図11は、第2の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図12は、第2の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図13は、第2の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図14は、第2の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図15は、第3の実施形態に係る情報処理装置に構成の一例を示すブロック図である。
図16は、第3の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図17は、第3の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図18は、第3の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図19は、第3の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図20は、第3の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図21は、第3の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図22は、第4の実施形態に係る情報処理装置に構成の一例を示すブロック図である。
図23は、第4の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図24は、第4の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図25は、第4の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図26は、第4の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図27は、第4の実施形態の係る情報処理装置の動作の説明に用いるデータを示す図である。
図28は、第5の実施形態に係る情報処理装置に構成の一例を示すブロック図である。
図29は、第5の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図30は、第5の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図31は、第5の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。
図32は、第5の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図33は、第5の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図34は、第5の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図35は、第5の実施形態に係る情報処理装置の動作の説明に用いるデータを示す図である。
図36は、一般的な匿名化を説明するための図である。
図37は、一般的な匿名化を説明するための図である。

実施例

0045

次に、本発明における実施形態について図面を参照して説明する。

0046

なお、各図面は、本発明の実施形態を説明するものである。そのため、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ符号を付し、その繰り返しの説明を、省略する場合がある。

0047

また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。

0048

説明に先立ち、本実施形態の説明で用いる用語について整理する。

0049

「パーソナル情報」とは、個人(パーソナル)の属性を含む情報である。例えば、パーソナル情報は、個人の特徴を表す属性を含む。ここで、個人の特徴を表す属性は、準識別子及びセンシティブ属性を含む。以下、個人の特徴を表す属性を含め、パーソナル情報と言う。

0050

「有効期間」とは、パーソナル情報が、パーソナル情報を記憶している装置又はシステムにおいて、有効である期間のことである。例えば、パーソナル情報が、データベースに記憶される場合、有効期間は、パーソナル情報がデータベースに記憶されている期間である。

0051

より具体的に説明する。病気治療のために1年間通院する患者を仮定する。その患者のパーソナル情報は、通院の開始時に病院のデータベースに記憶される。そして、1年間の通院後、病気が完治した場合、患者のパーソナル情報は、データベースから削除される。この場合、患者のパーソナル情報の有効期間は、病院のデータベースに記憶されている1年間である。そのため、有効期間は、「存続期間」といっても良い。

0052

ただし、有効期間は、時間(例えば、年、月、日、時、分、又は、秒)のように連続した値に限る必要はない。例えば、治療のための通院回数が決まっている治療の場合、パーソナル情報の有効期間は、通院回数となる。

0053

より具体的に説明する。血液検査の通院を仮定する。この場合、例えば、患者は、申込み採血、及び、結果報告の三回通院する。この場合、有効期間は、三回となる。

0054

<第1の実施形態>
まず、本発明における第1の実施形態に係る情報処理装置100の構成について、図面を参照して説明する。

0055

図1は、第1の実施形態に係る情報処理装置100の構成の一例を示すブロック図である。

0056

第1の実施形態に係る情報処理装置100は、パーソナル情報が追加・削除されるデータベースにおいて、プライバシーを保護するため、有効期間が同一又は所定の範囲のパーソナル情報を匿名化する。

0057

そのため、情報処理装置100は、抽出部111と、変換部112と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。

0058

パーソナル有効情報記憶部121は、パーソナル情報と、パーソナル情報の有効期間とを、相互に参照できるように、記憶する。

0059

なお、パーソナル有効情報記憶部121は、パーソナル情報と、有効期間とを、相互に参照できるように記憶すれば、記憶の形式に、特に制限はない。例えば、パーソナル有効情報記憶部121は、テーブルの形式を用いて、パーソナル情報と有効期間とを、異なるカラム(列)に記憶してもよい。また、パーソナル有効情報記憶部121は、パーソナル情報と有効期間とを、複数のテーブルに分けて、記憶してもよい。また、パーソナル有効情報記憶部121は、リレーショナルデータベース管理システムRDBMS: Relational DataBase Management System)のような、データベース管理手法を用いて、記憶しても良い。

0060

さらに、パーソナル有効情報記憶部121は、パーソナル情報と有効期間とに関連するパーソナル情報の識別子を記憶しても良い。

0061

抽出部111は、パーソナル有効情報記憶部121に記憶されているパーソナル情報を、有効期間を参照して分類し、特定の有効期間の範囲となるパーソナル情報を含む集合データ(以下、単に「集合」と言う)を抽出する。

0062

より詳細には、抽出部111は、パーソナル情報を、特定の範囲の有効期間毎に分類し、特定の範囲の有効期間のパーソナル情報を集めて集合を生成する。そして、抽出部111は、全てのパーソナル情報を用いて、複数の集合を生成する。そして、抽出部111は、集合を、変換部112に出力する。

0063

より具体的には、抽出部111は、例えば、次のように動作する。

0064

抽出部111は、パーソナル有効情報記憶部121からパーソナル情報と有効期間とを読み出す。読み出した有効期間を含む集合が作成済みの場合、抽出部111は、その集合に、パーソナル情報を追加する。有効期間を含む集合が作成されていない場合、抽出部111は、その有効期間を含む集合を作成し、その集合にパーソナル情報を追加する。

0065

そして、抽出部111は、全てのパーソナル情報を集合に追加後、集合を抽出し、変換部112に出力する。

0066

抽出部111は、上記の通り、パーソナル有効情報記憶部121に記憶されている全てのパーソナル情報を処理する。すなわち、抽出部111が生成する全集合の要素の総数は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の総数である。

0067

変換部112は、抽出部111が抽出した集合に含まれるパーソナル情報を、匿名性を満たすパーソナル情報に、変換する。以下、変換後のパーソナル情報を「保護済パーソナル情報」と言う。そして、変換部112は、保護済パーソナル情報を、結果記憶部122に記憶する。変換部112は、保護済パーソナル情報の他に、パーソナル有効情報記憶部121が記憶するパーソナル情報(変換前のパーソナル情報)の識別子を、結果記憶部122に記憶しても良い。

0068

なお、変換部112が実施する保護済パーソナル情報への変換は、パーソナル情報が表す個人のプライバシーを守る変換であれば、特に制限はない。例えば、その変換は、「k−匿名性」又は「l−多様性」を満たす匿名化処理でも良い。

0069

結果記憶部122は、変換部112で変換された保護済パーソナル情報を、記憶する。また、結果記憶部122は、パーソナル情報の識別子と保護済パーソナル情報の両方を、記憶しても良い。

0070

例えば、結果記憶部122は、識別子としてのパーソナル有効情報記憶部121に記憶されたパーソナル情報のレコード番号と、保護済パーソナル情報を構成する属性値とを、1つのテーブルの各カラム(列)に記憶しても良い。

0071

なお、結果記憶部122は、保護済パーソナル情報を参照できれば、記憶形式に特に制限はない。例えば、結果記憶部122は、パーソナル情報の識別子と保護済パーソナル情報の識別子とを1つのテーブルの異なるカラムに記憶し、別のテーブルに保護済パーソナル情報を構成する属性値を記憶し、さらに別のテーブルに識別子と属性値との関連情報を記憶してもよい。

0072

次に、本実施形態に係る情報処理装置100の動作(データ処理方法)について、図面を参照して説明する。

0073

図2は、本実施形態に係る情報処理装置100の動作の一例を示すフローチャートである。

0074

なお、パーソナル有効情報記憶部121は、予め、パーソナル情報と有効期間とを含む複数のレコードを記憶しているとする。

0075

まず、抽出部111は、パーソナル情報の集合のリストを抽出(生成)する(ステップS101)。

0076

具体的には、抽出部111は、ステップS101において、例えば、次のように動作する。

0077

抽出部111は、まず、空のリストを生成する。そして、抽出部111は、パーソナル有効情報記憶部121に記憶されている1つのレコード(パーソナル情報と有効期間との1つの組)を読み込む。抽出部111は、読み込んだパーソナル情報と有効期間とを参照し、その有効期間が含まれる集合がリストに存在するか否かを判定する。

0078

有効期間が含まれる集合がリストに存在しない場合、抽出部111は、その有効期間を含む集合を生成し、リストに登録する。集合の生成(登録)後、抽出部111は、パーソナル情報を、生成した集合に追加する。

0079

なお、抽出部111は、どのような集合を生成するかについて、予め設定されているとする。例えば、抽出部111は、年単位(例えば、「1年未満」、「1年以上2年未満」、「2年以上3年未満」、・・・)の集合を生成すると、設定されていても良い。あるいは、抽出部111は、所定の回数範囲(例えば、「1回−5回」、「6回−10回」、・・・)の集合を生成すると、設定されていても良い。

0080

有効期間が含まれる集合がリストに存在する場合、抽出部111は、有効期間が含まれる集合に、パーソナル情報を追加する。

0081

抽出部111は、パーソナル有効情報記憶部121に記憶されている全てのレコード(パーソナル情報と有効期間との組)を処理し、リストを生成する。

0082

次に、変換部112は、抽出部111が生成したリストに、未処理(未変換)の要素(集合)があるか否かを判定する(ステップS103)。

0083

リストの未処理の要素(集合)がある場合(ステップS103で「YES」)、変換部112は、抽出部111が抽出(生成)したリストから集合を、1つ取り出す。そして、変換部112は、集合を構成するパーソナル情報を、所定の匿名性を満たす保護済パーソナル情報に変換する(ステップS105)。

0084

そして、変換部112は、結果記憶部122に、パーソナル情報の識別子と保護済パーソナル情報とを出力する(ステップS107)。結果記憶部122は、識別子と保護済パーソン情報とを記憶する。

0085

そして、変換部112は、ステップS103に戻る。

0086

リストに未処理の要素(集合)がある場合、変換部112は、上記の処理を繰り返す。

0087

未処理の要素(集合)がない場合(ステップS103で「NO」)、情報処理装置100は、動作を終了する。

0088

つまり、変換部112は、抽出部111が抽出したリストに登録されているすべての集合に対して、上記動作を実行する。

0089

(動作例)
次に、本実施形態の情報処理装置100の動作について、具体的なパーソナル情報を含むデータを用いて説明する。

0090

図3は、情報処理装置100の動作の説明に用いるパーソナル有効情報記憶部121が記憶するデータの一例を示す図である。

0091

パーソナル有効情報記憶部121は、図3に示すデータ1001を記憶する。データ1001は、病状記録(個人に関連するパーソナル情報)として、識別子の番号(No.)と、患者の郵便番号(ZIPコード)と、年齢と、病状(センシティブ属性)との組合せのデータである。また、パーソナル有効情報記憶部121は、有効期間として、診療を受ける回数を、記憶する。

0092

図4図6は、情報処理装置100の動作を説明するための図であり、結果記憶部122が記憶するデータの推移の一例を示す図である。

0093

なお、本実施形態の説明において、情報処理装置100が、ZIPコードと年齢とを抽象化しているのは、例示である。情報処理装置100が匿名化の対象とするデータは、これらに限る必要はない。

0094

以下の説明では、情報処理装置100は、2−匿名性を満たすように匿名化する。

0095

結果記憶部122は、図4に示すデータ1002の状態から、図5に示すデータ1003の状態を経由して、図6に示すデータ1004を記憶する。

0096

まず、抽出部111は、有効期間が10回の病状記録の番号(No.)を付与した集合と、有効期間が1回である病状記録の番号(No.)を付与した集合とのリストを生成する(ステップS101)。

0097

ここで、以下の説明の便宜のため、実施形態の説明に用いるリスト及び集合の記載書式を説明する。

0098

以下、集合を{}、リストを[]、有効期間nが付与された集合を{}:nと表現する。なお、記載を明確にするため、「」を用いて記載を囲む場合もある。

0099

この記載書式を用いると、抽出部111は、パーソナル有効情報記憶部121に記憶されるすべての病状記録から、リスト[{1,4}:10,{2,3}:1]を生成する。

0100

ここで、結果記憶部122の初期状態は、図4に示すデータ1002のように、保護済パーソナル情報である匿名化された病状記録が、記憶されていない状態である。

0101

変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。

0102

リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{1,4}:10」を取り出す。そして、変換部112は、ZIPと年齢とを汎化して、リストの要素であるNo.1とNo.4の病状記録を、匿名化する(ステップS105)。この結果、リストの先頭の集合は、「{2,3}:1」となる。

0103

変換部112は、匿名化したNo.1とNo.4の病状記録を、図5に示すデータ1003のように、結果記憶部122に記憶する(ステップS107)。

0104

次に、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。

0105

リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{2,3}:1」を取り出し、リストの要素であるNo.2とNo.3の病状記録を、匿名化する(ステップS105)。

0106

変換部112は、匿名化したNo.2とNo.3の病状記録を、図6に示すデータ1004のように、結果記憶部122に記憶する(ステップS107)。

0107

そして、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。

0108

リストが空であるため(ステップS103で「NO」)、変換部112は、処理を終了する。

0109

図6のデータ1004から明らかなとおり、データ1004の集合(「No.1とNo.4」及び「No.2とNo.3」)は、2−匿名化を満たす。さらに、データ1004の集合は、2−多様性も満たしている。

0110

(実施形態の効果)
このように、本実施形態の情報処理装置100は、パーソナル情報が追加・削除されるデータベースにおいて、パーソナル情報が表す個人のプライバシーの保護する効果を提供できる。

0111

その理由は、次のとおりである。

0112

本実施形態の情報処理装置100は、有効期間が同一又は所定の範囲のデータの集合を抽出し、データを匿名化する。つまり、情報処理装置100は、パーソナル情報を、同一又は所定の範囲の有効期間の集合において匿名化する。

0113

したがって、閲覧者は、有効期間を知っていても、匿名化されたデータから個人を特定できない。

0114

例えば、ある個人が、病院に治療のために通い、パーソナル有効情報記憶部121に、パーソナル情報が記憶されたとする。情報処理装置100は、例えば、所定の期間より長く通院する長期通院者データ集合を抽出して、データを匿名化する。また、情報処理装置100は、所定の期間より短い通院期間のデータを抽出して、データを匿名化する。

0115

したがって、閲覧者は、例えば、ある患者の通院が長期間であることを知っても、結果記憶部122に記憶される保護済(匿名化済)パーソナル情報を参照して、個人を特定できない。より具体的には、閲覧者は、例えば、有効期間(通院期間)が長いことを予測できるパーソナル情報(例えば、「症状」という属性の値(種類)が「重症」であるパーソナル情報)を入手しても、その特定個人のパーソナル情報を識別できない。

0116

また、閲覧者は、例えば、有効期間(通院期間)が短いことを予測できるパーソナル情報(例えば、「症状」という属性の値(種類)が「軽症」であるパーソナル情報)を入手しても、その特定個人のパーソナル情報を識別できない。

0117

このように、本実施形態に情報処理装置100は、パーソナル情報の有効期間を予測できる攻撃者が、特定個人のパーソナル情報を識別することを、防止できる。

0118

つまり、本実施形態の情報処理装置100は、所定の有効期間の集団に属するパーソナル情報を、集団毎に匿名化する。そのため、情報処理装置100は、集合に属することを知る攻撃者から、特定個人のパーソナル情報の識別を、防止する。

0119

(変形例1)
情報処理装置100の構成は、これまでの説明に限らない。

0120

情報処理装置100は、各構成を複数の構成に分けても良い。

0121

さらに、情報処理装置100は、1つの装置で構成される必要はない。例えば、情報処理装置100は、ネットワークを介して接続した抽出部111を含む装置と、変換部112を含む装置とを用いて構成されても良い。

0122

あるいは、情報処理装置100は、パーソナル有効情報記憶部121と結果記憶部122とのいずれか、又は、両方を外部の記憶装置として構成しても良い。

0123

図7は、第1の実施形態の変形例1の構成の一例を示すブロック図である。

0124

情報処理装置101は、抽出部111と、変換部112とを含む。

0125

抽出部111は、情報処理装置101の抽出部と同様に、図示しない記憶装置のパーソナル有効情報記憶部121に記憶されているパーソナル情報の集合を抽出する。

0126

変換部112は、集合に含まれるパーソナル情報を匿名化し、図示しない記憶装置の結果記憶部122に記憶する。

0127

このように構成された情報処理装置101は、情報処理装置100と同様の効果を実現できる。

0128

その理由は、次のとおりである。

0129

情報処理装置101の抽出部111及び変換部112は、情報処理装置100の抽出部111及び変換部112と同様に動作できるためである。

0130

なお、情報処理装置101は、本発明の最小構成である。

0131

(変形例2)
また、情報処理装置100は、複数の構成を1つの構成としても良い。

0132

例えば、情報処理装置100は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)と、入出力接続回路IOC:Input/OutputCircuit)と、ネットワークインターフェース回路(NIC:Network Interface Circuit)とを含むコンピュータ装置として実現しても良い。

0133

図8は、本実施形態の情報処理装置100の変形例である情報処理装置600の構成の一例を示すブロック図である。

0134

情報処理装置600は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータを構成している。

0135

CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610は、これらの構成を制御し、図1に示す、抽出部111と、変換部112としての各機能を実現する。CPU610は、各機能を実現する際に、RAM630をプログラムの一時記憶として使用しても良い。

0136

また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでも良い。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取っても良い。

0137

ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programable-ROM)やフラッシュROMである。

0138

RAM630は、CPU610が実行するプログラムやデータを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic-RAM)である。

0139

内部記憶装置640は、情報処理装置600が長期的に保存するデータやプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作しても良い。内部記憶装置640は、パーソナル有効情報記憶部121又は結果記憶部122として動作する。内部記憶装置640は、例えば、ハードディスク装置光磁気ディスク装置SSD(Solid State Drive)又はディスクアレイ装置である。

0140

IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカードである。

0141

入力機器660は、情報処理装置600の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボードマウス又はタッチパネルである。

0142

表示機器670は、情報処理装置600の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。

0143

NIC680は、ネットワークを介した外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LANカードである。

0144

このように構成された情報処理装置600は、情報処理装置100と同様の効果を得ることができる。

0145

その理由は、次のとおりである。

0146

情報処理装置600のCPU610は、プログラムに基づいて情報処理装置100と同様の機能を実現できるためである。

0147

<第2の実施形態>
第2の実施形態について、図面を参照して説明する。なお、第1の実施形態の同様の構成又はステップには、同じ符号を付し、明細書中の説明を省略する場合がある。

0148

まず、第2の実施形態に係る情報処理装置200の構成について説明する。

0149

図9は、本実施形態に係る情報処理装置200の構成の一例を示すブロック図である。

0150

情報処理装置200は、削除部211と、抽出部212と、変換部112と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。

0151

第1の実施形態に係る情報処理装置100は、パーソナル有効情報記憶部121に記憶されたパーソナル情報が示す個人のプライバシーを、図2に示すフローを1回実行することで、保護する。つまり、第1の実施形態に係る情報処理装置100は、保護されていないパーソナル情報を、一度の処理で保護する。

0152

一方、本実施形態の情報処理装置200は、複数のタイミングで、パーソナル有効情報記憶部121に記憶されているパーソナル情報が示す個人のプライバシーを保護するための処理を実行する点で、情報処理装置100と、相違する。つまり、情報処理装置200は、断続的に、すなわち、繰り返し処理を実行し、プライバシーを継続的に保護する。

0153

第2の実施形態において、パーソナル有効情報記憶部121に記憶されるパーソナル情報は、時間経過に伴って変化する。つまり、新たなパーソナル情報が、パーソナル有効情報記憶部121に追加され、有効期間を過ぎたパーソナル情報が、パーソナル有効情報記憶部121から削除される。

0154

したがって、パーソナル有効情報記憶部121に記憶されるパーソナル情報を、時間の経過とともに、継続的に保護する必要がある。そのため、情報処理装置200は、第1の実施形態に係る情報処理装置100の構成における抽出部111の代わりとして、抽出部212を含み、更に、削除部211を含む。以下、本実施形態の情報処理装置200における、情報処理装置100と相違する構成について、説明する。

0155

削除部211は、パーソナル有効情報記憶部121に記憶されていないパーソナル情報の識別子と、そのパーソナル情報を変換して得られた保護済パーソナル情報とを、結果記憶部122から、削除する。

0156

抽出部212は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の中から、結果記憶部122にパーソナル情報の識別子が記憶されていないパーソナル情報を、抽出する。この抽出は、断続的に実行される。

0157

そして、抽出部212は、抽出したパーソナル情報と、そのパーソナル情報の有効期間とを参照し、その有効期間が含まれる集合が、パーソナル情報のリストに存在するか否かを判定する。

0158

集合が存在しない場合、抽出部212は、その有効期間を含む集合を作成し、リストに登録する。そして、抽出部212は、抽出したパーソナル情報を、要素として、作成した集合に追加する。

0159

集合が存在する場合、抽出部212は、抽出したパーソナル情報を、要素として、その集合に追加する。

0160

抽出部212は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に処理する。

0161

このように、抽出部212は、結果記憶部122にパーソナル情報の識別子が記憶されていないパーソナル情報の集合を、断続的に、抽出する。結果記憶部122に記憶されていないパーソナル情報は、変換部112が変換していない情報である。つまり、抽出部212は、パーソナル有効情報記憶部121に記憶されているパーソナル情報の中で、変換部112が変換していないパーソナル情報の集合を抽出する。

0162

そして、抽出部212は、全てのパーソナル情報を処理後(つまり、集合を抽出後)、変換部112に出力する。

0163

なお、最初の状態、つまり結果記憶部122にパーソナル情報を含まない場合、抽出部212は、抽出部111と同様に動作する。そのため、抽出部212は、抽出部111の機能を持つ第2の抽出部と言っても良い。なお、この場合、抽出部111は、第1の抽出部と言っても良い。

0164

また、抽出部212は、抽出部111に相当する構成と、本実施形態で追加された機能を実現する構成とに分けて構成されても良い。

0165

なお、情報処理装置200は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。

0166

次に、本実施形態に係る情報処理装置200の動作(データ処理方法)について説明する。

0167

図10は、第2の実施形態に係る情報処理装置200の動作の一例を示すフローチャートである。

0168

なお、情報処理装置200の動作のタイミングは、特に制限はない。例えば、情報処理装置200は、定期的に、動作しても良い。あるいは、情報処理装置200は、例えば、情報処理装置200の管理者、又は、図示しない管理装置の指示を基に、動作してもよい。

0169

また、結果記憶部122は、記憶するパーソナル情報の識別子を記憶する。

0170

削除部211は、パーソナル有効情報記憶部121に記憶されていないパーソナル情報の識別子と、そのパーソナル情報に対応する保護済パーソナル情報とを、結果記憶部122から削除する(ステップS201)。

0171

次に、抽出部212は、新規のパーソナル情報の集合のリストを生成する(ステップS203)。

0172

より具体的には、抽出部212は、例えば、次のように動作する。

0173

まず、抽出部212は、空のリストを生成する。

0174

そして、抽出部212は、パーソナル有効情報記憶部121に記憶されている1つのレコードから、パーソナル情報とそのパーソナル情報の有効期間とを読み込む。

0175

抽出部212は、読み込んだパーソナル情報の識別子が、結果記憶部122に記憶されているか否かを判定する。

0176

結果記憶部122に記憶されていない場合、抽出部212は、パーソナル情報の有効期間が含まれる集合が、リストに存在するか否かを判定する。

0177

リストに存在しない場合、抽出部212は、有効期間を含む集合を、生成する。そして、抽出部212は、生成した集合を、リストに登録する。

0178

集合が存在する場合又は集合の登録後、抽出部212は、有効期間を含む集合をリストから読み込む。そして、抽出部212は、読み込んだ集合に、パーソナル情報を登録する。

0179

抽出部212は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報について、同様に、処理する。

0180

次に、変換部112は、リストに、未処理の要素(集合)があるか否かを判定する(ステップS103)。

0181

未処理の要素(集合)がある間(ステップS103が「YES」)、変換部112は、次の処理を繰り返す。

0182

変換部112は、抽出部212が生成したリストから集合を1つ取り出し、集合を構成するパーソナル情報を変換し、保護済パーソナル情報を生成する(ステップS105)。

0183

そして、変換部112は、結果記憶部122に、パーソナル情報への参照(識別子)と、保護済パーソナル情報とを記憶する(ステップS107)。

0184

変換部112は、リストに登録されているすべての集合に対して、同様に、処理する。

0185

(動作例)
次に、本実施形態の情報処理装置200の動作について、具体的なパーソナル情報を含んだデータを用いて説明する。

0186

図11−14は、情報処理装置200の動作の説明に用いる、パーソナル有効情報記憶部121及び結果記憶部122が記憶するデータの一例を示す図である。

0187

時刻t0において、パーソナル有効情報記憶部121は、図11に示すデータ2001を記憶する。データ2001は、病状記録(個人に関するパーソナル情報)として、病状記録を識別する番号(No.)と、患者のZIPコードと、年齢と、病状との組合せのデータである。また、データ2001は、有効期間(診療を受ける回数)を含む。

0188

そして、抽出部111は、第1の実施形態と同様に、パーソナル有効情報記憶部121に記憶されているデータ2001からパーソナル情報を抽出する。変換部112は、第1の実施形態と同様に、パーソナル情報を、図11に示すデータ2002のように、匿名化する。そして、変換部112は、匿名化した保護済パーソナル情報を、結果記憶部122に記憶する。

0189

時刻t0から所定の時間が経過した時刻t1において、パーソナル有効情報記憶部121は、図12のデータ2003を記憶する。データ2003は、時刻t0におけるデータ2001から、No.2及びNo.3の病状記録が削除され、新たに、No.5及びNo.6の病状記録が追加されたデータである。

0190

そして、情報処理装置200は、図10を参照して説明したように動作する。

0191

まず、削除部211は、図13のデータ2004に示すように、結果記憶部122に記憶された図11のデータ2002を参照し、結果記憶部122に記憶され、パーソナル有効情報記憶部121に記憶されていない、No.2及びNo.3のレコードを削除する(ステップS201)。

0192

次に、抽出部212は、空のリストを生成する。そして、抽出部212は、パーソナル有効情報記憶部121に記憶されている病状記録であって、結果記憶部122にその番号(No.)が記憶されていない病状記録を読み込み、病状の集合のリスト[{5,6}:1]を生成する(ステップS203)。

0193

リストに要素があるため(ステップS103で「YES」)、変換部112は、リストの先頭の集合「{5,6}:1」を取り出す。そして、変換部112は、集合の要素であるNo.5及びNo.6の病状記録を匿名化する(ステップS105)。

0194

変換部112は、図14のデータ2005に示すように、匿名化したNo.5及びNo.6の病状記録を、結果記憶部122に記憶する(ステップS107)。

0195

そして、リストに要素が存在しない(リストが空の)ため、変換部112は、処理を終了する(ステップS103で「NO」)。

0196

(本実施形態の効果)
このように、本実施形態の情報処理装置200は、第1の実施形態の効果に加え、時間の経過に伴ってパーソナル情報が追加及び削除されるデータベースにおいて、パーソナル情報が表す個人のプライバシーの保護する効果を提供できる。

0197

その理由は、次のとおりである。

0198

本実施形態の情報処理装置200は、時間経過に伴って異なるパーソナル情報が断続的に記憶されるパーソナル有効情報記憶部121に対して、データを匿名化する。つまり、情報処理装置200は、断続的に、パーソナル有効情報記憶部121のデータ変更を参照して、結果記憶部122のデータを修正(追加及び/又は削除)するためである。

0199

個人が、長期的にある集団に属する(例えば、長期通院としてパーソナル有効情報記憶部121にパーソナル情報が記憶される)場合、情報処理装置200は、時間が経過しても、結果記憶部122が記憶する集団に属する特定個人のパーソナル情報を、適切に、匿名化する。そのため、例えば、攻撃者は、長期に通院する患者を知っていても、結果記憶部122のパーソナル情報から、その特定個人のパーソナル情報を識別できない。

0200

同様に、個人が、一時的にある集団に属する、例えば、病院に1回だけ訪れてパーソナル有効情報記憶部121にパーソナル情報が記憶される場合、情報処理装置200は、通信終了後、結果記憶部122が記憶するパーソナル情報を匿名化又は削除する。そのため、攻撃者は、患者(特定個人)を知っていても、結果記憶部122に1回だけ存在したパーソナル情報の中から、その特定個人のパーソナル情報を識別できない。

0201

つまり、情報処理装置200は、特定個人のパーソナル情報が集団に属する有効期間にかかわらず、情報を保護できる。

0202

このように、本実施形態の情報処理装置200は、攻撃者が保護済パーソナル情報を閲覧し続けても、攻撃者が特定個人のパーソナル情報を識別することを防止するように、パーソナル情報を匿名化できる。

0203

<第3の実施形態>
第3の実施形態について、図面を参照して説明する。なお、第1及び第2の実施形態と同様の構成又はステップには、同じ符号を付し、詳細な説明を省略する場合がある。

0204

まず、第3の実施形態に係る情報処理装置300の構成について説明する。

0205

図15は、本実施形態に係る情報処理装置300の構成の一例を示すブロック図である。

0206

情報処理装置300は、抽出部311と、変換部112と、変換部312と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。

0207

本実施形態の情報処理装置300は、第1の実施形態の情報処理装置100と、相対的に有効期間が近いパーソナル情報が表す個人の集合において個人のプライバシーを保護する点で、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。

0208

抽出部311は、抽出部111の機能に加え、パーソナル有効情報記憶部121に記憶されているパーソナル情報のうち、有効期間が所定の期間より長いパーソナル情報の集合と、それ以外の(有効期間が所定の期間より短い)パーソナル情報の集合とを抽出する。ここで、抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合として、複数の集合を抽出しても良い。複数の集合を抽出する場合、抽出部311は、予め、所定の期間に加え、集合の分割点を保持しても良い。あるいは、抽出部311は、所定の期間に加え、各集合の範囲を保持しても良い。

0209

なお、抽出部311は、抽出部111又は抽出部212に相当する構成と、本実施形態で追加された機能を実現する構成とに分けて構成されても良い。そのため、抽出部311は、第3の抽出部といっても良い。

0210

例えば、所定の期間を1ヶ月とした場合について説明する。また、抽出部311は、有効期間が長い集合として、1年未満と1年以上の2つの集合を抽出するとする。

0211

抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合として、パーソナル有効情報記憶部121に記憶されているパーソナル情報のうち、1ヶ月以上1年未満の有効期間のパーソナル情報の集合と、1年以上の有効期間のパーソナル情報の集合とを生成(抽出)する。

0212

そして、抽出部311は、それ以外のパーソナル情報の集合、つまり、有効期間が所定の期間より短い(1ヶ月未満)パーソナル情報の集合を抽出する。

0213

このように、抽出部311は、有効期間が所定の期間より長い1つ又は複数の集合と、有効期間が所定の期間より短い集合とを抽出する。

0214

変換部112は、第1の実施形態及び第2の実施形態の変換部112と同様に、抽出部311が抽出したパーソナル情報を要素とする各集合について、集合に含まれるパーソナル情報を変換し、保護済パーソナル情報を生成する。そして、変換部112は、保護済パーソナル情報を結果記憶部122に記憶する。

0215

変換部312は、抽出部311が抽出した有効期間が所定の期間よりも短いパーソナル情報の少なくとも一部が、結果記憶部122に記憶されている保護済パーソナル情報の少なくとも一部と識別できないように、そのパーソナル情報の一部と保護済パーソナル情報の一部とを変換する。そして、変換部312、パーソナル情報の一部と保護済パーソナル情報の一部とを変換した変換後の保護済パーソナル情報を、結果記憶部122に記憶する。

0216

変換部312は、有効期間が所定の期間より短いパーソナル情報の全てについて、上記のように変換し、変換後の保護済パーソナル情報として、結果記憶部122に記憶する。

0217

そのため、変換部312は、変換部112を第1の変換部とすると、第2の変換部に相当する。

0218

ただし、情報処理装置300は、変換部112と変換部312とを1つの構成で実現しても良い。本実施形態の説明において、変換部112と変換部312とを分けて説明するのは、説明する機能を明確にするためである。

0219

なお、情報処理装置300は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。

0220

また、情報処理装置300は、第2の実施形態と同様に、抽出部111の機能に加え、抽出部212の機能及び削除部211の機能を含んでも良い。

0221

次に、第3の実施形態に係る情報処理装置300の動作(データ処理方法)について、図面を参照して説明する。

0222

図16は、第3の実施形態に係る情報処理装置300の動作の一例を示すフローチャートである。

0223

まず、抽出部311は、有効期間が所定の期間より長いパーソナル情報の集合を生成する(ステップS301)。

0224

より具体的には、抽出部311は、次のように動作する。

0225

ここで、抽出部311は、判定の用いる所定の期間と範囲とを、予め、保持しているとする。

0226

例えば、抽出部311は、所定の期間として1ヶ月を、範囲として1年未満と1年以上とを保持する。この場合、抽出部311は、1ヶ月以上1年未満の集合と、1年以上の集合とを生成する。

0227

まず、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されているパーソナル情報とそのパーソナル情報の有効期間とを読み込む。読み込んだパーソナル情報の有効期間が、所定の期間より長い場合、抽出部311は、その有効期間を含む範囲を含む集合が、リストに存在するか否かを判定する。

0228

集合がリストに存在しない場合、抽出部311は、その有効期間を含む範囲を含む集合を生成し、集合をリストに登録する。集合をリストに登録後、抽出部311は、その有効期間の範囲を含む集合をリストから読み込み、その集合に読み込んだパーソナル情報を登録する。

0229

一方、集合がリストに登録されている場合、抽出部311は、有効期間の範囲を含む集合をリストから読み込み、その集合に読み込んだパーソナル情報を登録する。

0230

抽出部311は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に処理する。

0231

次に、変換部112は、リストに要素が存在するか否かを判定する(ステップS103)。

0232

要素が存在する場合、変換部112は、抽出部311が生成したリストの集合を、1つ取り出す。そして、変換部112は、取り出した集合を構成するパーソナル情報を変換する(ステップS105)。つまり、変換部112は、保護済パーソナル情報を生成する。

0233

そして、変換部112は、結果記憶部122に、パーソナル情報への参照(識別子)と保護済パーソナル情報とを記憶する(ステップS107)。

0234

変換部112は、リストに登録されているすべての集合に対して、同様に処理する(ステップS103)。

0235

次に、抽出部311は、有効期間が短いパーソナル情報の集合を生成する(ステップS303)。

0236

具体的には、抽出部311は、次のように動作する。

0237

まず、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されているパーソナル情報とそのパーソナル情報の有効期間とを読み込む。読み込んだパーソナル情報の有効期間が所定の期間より短い場合、抽出部311は、読み込んだパーソナル情報をリストに追加する。抽出部311は、パーソナル有効情報記憶部121に記憶されているすべてのパーソナル情報を、同様に、処理する。

0238

変換部312は、集合の各要素(パーソナル情報)及び匿名化済パーソナル情報を抽象化する(ステップS304)。

0239

具体的には、変換部312は、次のよう動作する。

0240

変換部312は、抽出部311が生成したリストから、パーソナル情報を1つ取り出す。そして、変換部312は、取り出したパーソナル情報が表す個人が、結果記憶部122に記憶されている所定の数の保護済パーソナル情報(つまり、少なくとも一部の保護済パーソナル情報)を表す個人と識別できないように、取り出したパーソナル情報及び所定の数の保護済パーソナル情報を変換する。そして、変換部312は、変換後のパーソナル情報を、保護済パーソナル情報として、結果記憶部122に記憶する。変換部312は、抽出部311が生成したリストに含まれる全てのパーソナル情報を処理する。

0241

なお、抽出部311は、ステップS105とステップS303を分けずに動作しても良い。例えば、抽出部311は、パーソナル情報の有効期間を判定し、判定結果を基に、パーソナル情報を、変換部112が使用するリスト又は変換部312が使用するリストに登録しても良い。

0242

(動作例)
次に、本実施形態の情報処理装置300の動作について、具体的なデータを用いて説明する。

0243

図17−21は、情報処理装置300の動作の説明に用いる、パーソナル有効情報記憶部121及び結果記憶部122が記憶するデータの一例を示す図である。

0244

パーソナル有効情報記憶部121は、例えば、図17に示すデータ3001を記憶する。データ3001は、病状記録(個人に関連するパーソナル情報)として、病状記録の番号(No.)と、患者のZIPコードと、年齢と、病状とを含むデータである。また、データ3001は、有効期間(治療を受ける回数)を含む。

0245

また、抽出部311は、所定の期間として3回以上、範囲として「3〜4回」及び「5回以上」が設定されているとする。

0246

まず、抽出部311は、図18に示すデータ3002のように、空のリストを生成する。

0247

そして、抽出部311は、パーソナル有効情報記憶部121に記憶されている病状記録であって、所定の期間より長い病状記録として、有効期間が3回以上の病状記録を読み込む。そして、抽出部311は、3〜4回及び5回以上の有効期間の病状記録の番号(No.)の集合を構成し、その集合を要素とするリスト[{5,6}:5〜6,{2,4}:3〜4]を生成する(ステップS301)。

0248

変換部112は、リストの先頭の集合「{5,6}:5〜6」を取り出す。そして、変換部112は、集合の要素であるNo.5及びNo.6が表すパーソナル有効情報記憶部121に記憶される病状記録を、匿名化する(ステップS105)。変換部112は、図19のデータ3003の示すように、匿名化したNo.5とNo.6の病状記録を、結果記憶部122に記憶する(ステップS107)。

0249

次に、変換部112は、リストの次の集合「{2,4}:3〜4」を取り出す。そして、変換部112は、集合の要素であるNo.2及びNo.4が表すパーソナル有効情報記憶部121に記憶される病状記録を、匿名化する(ステップS105)。変換部112は、図20のデータ3004に示すように、匿名化したNo.2とNo.4の病状記録を、結果記憶部122に記憶する(ステップS107)。

0250

同様に、変換部112は、リストの全ての要素を処理する(ステップS103)。

0251

次に、抽出部311は、空のリストを生成する。そして、抽出部311は、パーソナル有効情報記憶部121に記憶されている病状記録であって、所定の期間よりも短い病状記録として、有効期間が3回未満の病状記録を読み込む。そして、抽出部311は、読み込んだ病状記録を基に、リスト[{1,3}:1〜2]を生成する(ステップS303)。

0252

変換部312は、リストの要素であるNo.1及びNo.3の病状記録を匿名化する。ただし、変換部312は、リストの要素と、結果記憶部122に記憶されている保護済データとを変換する。

0253

すなわち、変換部312は、No.1及びNo.3の病状記録の抽象化するデータ(ここでは、ZIPコードと年齢)に、最も近い図20のデータ3004で示す結果記憶部122に記憶される病状記録の抽象化されたデータ(ZIPコードと年齢)を、判別する。そして、変換部312は、No.1及びNo.3の病状記録と、判別した結果記憶部122の病状記録とが区別できないように、No.1及びNo.3の病状記録(各要素)及び結果記憶部122に記憶されている病状記録(匿名化済パーソナル情報)を変換(抽象化)する。そして、変換部312は、図21に示すデータ3005のように、結果記憶部122に匿名化済パーソナル情報を記憶する。

0254

詳細に説明すると、変換部312は、次のように動作する。

0255

すなわち、変換部312は、No.1及びNo.3の病状記録に近い病状記録として、No.5及びNo.6の病状記録を判別する。

0256

そして、変換部312は、No.1の病状記録のZIPコードを「14853」から「1485*」に変換し、年齢を「33」から「31−34」に変換する。さらに、変換部312は、No.3の病状記録のZIPコードを「14850」から「1485*」に変換し、年齢を「31」から「31−34」に変換する。さらに、変換部312は、結果記憶部122に記憶されたNo.5及びNo.6の病状記録の年齢を「32−34」から「31−34」に変換する。

0257

(本実施形態の効果)
このように本実施形態の情報処理装置300は、第1及び第2の実施形態の効果に加え、同一の有効期間のパーソナル情報の数が、匿名性を確保するために十分な数でない場合でも、パーソナル情報を表す個人のプライバシーの保護する効果を提供できる。

0258

その理由は、次のとおりである。

0259

情報処理装置300の変換部112は、有効期間が所定に期間より長いパーソナル情報の集合を匿名化する。また、変換部312は、有効期間が所定の期間より短いパーソナル情報を、匿名化する。つまり、情報処理装置300は、有効期間が相対的に近いパーソナル情報の集合を匿名化する。

0260

また、情報処理装置300の変換部312は、有効期間が所定の期間より短いパーソナル情報を、個人を区別できないように、有効期間が所定の期間より長いパーソナル情報とともに匿名化する。そのため、同一の有効期間のパーソナル情報の数が十分でない場合でも、情報処理装置300は、パーソナル情報を表す個人のプライバシーを保護できる。

0261

さらに、情報処理装置300は、有効期間が短いパーソナル情報を、有効期間が長いパーソナル情報と区別できないように匿名化する。そのため、攻撃者は、所定の個人の有効期間の長短を知っていても、有効期間の長短を基に個人と特定できない。

0262

さらに、情報処理装置300は、有効期間が長いパーソナル情報を長期間保護する効果を実現できる。

0263

その理由は、次のとおりである。

0264

情報処理装置300は、所定の期間より長い集合を、複数の集合に分けて変換する。つまり、情報処理装置300は、有効期間が長いパーソナル情報を、同程度に有効期間が長いパーソナル情報の集合として変換する。例えば、情報処理装置300は、有効期間が10年以上のパーソナル情報の集合を匿名化する。

0265

そのため、例えば、ある程度の期間が経過しても、有効期間が長い集合は、集合に含まれるパーソナル情報の変更を必要としない。

0266

例えば、情報処理装置300は、有効期間が10年以上のパーソナル情報の集合を匿名化したとする。この場合、数年経過しても、有効期間が10年以上のパーソナル情報の集合への従属は、変更とならない。そのため、情報処理装置300は、プライバシーの保護状態を維持できる。

0267

このように、情報処理装置300は、有効期間が長いパーソナル情報の保護を実現できる。

0268

<第4の実施形態>
第4の実施形態について、図面を参照して説明する。なお、第1から第3の実施形態と同様の構成又はステップには、同じ符号を付し、詳細な説明を省略する場合がある。

0269

まず、第4の実施形態に係る情報処理装置400の構成について説明する。

0270

図22は、本実施形態に係る情報処理装置400の構成の一例を示すブロック図である。

0271

情報処理装置400は、予測部411と、抽出部111と、変換部112と、パーソナル情報記憶部421と、相関記憶部422と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。

0272

第1の実施形態に係る情報処理装置100は、予め、パーソナル有効情報記憶部121に、パーソナル情報の有効期間が与えられることを前提とする。

0273

一方、本実施形態の情報処理装置400は、パーソナル情報の有効期間を予測(又は、算出)する点で、情報処理装置100と、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。

0274

パーソナル情報記憶部421は、パーソナル情報を記憶する。

0275

相関記憶部422は、パーソナル情報の性質とそのパーソナル情報の有効期間との相関を記憶する。

0276

ここで、パーソナル情報の性質とは、パーソナル情報の有効期間に関連する情報である。

0277

例えば、パーソナル情報の性質の「癌」、「心臓病」又は「腰痛」は、有効期間が長く、パーソナル情報の性質の「インフルエンザ」又は「感染症」は、有効期間が短い。

0278

あるいは、パーソナル情報の性質の「持家」は、有効期間が長く、パーソナル情報の性質の「ホテル」は、有効期間が短い。

0279

例えば、パーソナル情報が図36に示すデータ9001のような病状記録の場合、病名が、パーソナル情報の性質に相当する。また、病名が示す疾病の平均診療回数が、有効期間に相当する。そのため、相関記憶部422は、例えば、病名と平均診療回数(有効期間)との相関を記憶する。

0280

予測部411は、パーソナル情報記憶部421に記憶されているパーソナル情報について、そのパーソナル情報の性質を相関記憶部422から検索する。そして、予測部411は、パーソナル情報と、その性質に対応する有効期間とを基に、パーソナル有効情報記憶部121が記憶する情報を作成し、パーソナル有効情報記憶部121に出力する。

0281

なお、予測部411は、その他の情報を参照しても良い。

0282

例えば、予測部411は、図示しない記憶部に記憶されているパーソナル情報の性質(所定の属性値)に対応する有効期間の情報を、参照しても良い。

0283

より具体的には、予測部411は、次のような情報を参照しても良い。

0284

例えば、年齢が高い人は、診療期間(有効期間)が長い。そこで、図示しない記憶部が、年齢と診療期間(有効期間)との相関情報を保持する。そして、予測部411は、パーソナル情報の性質に対応する有効期間を、年齢情報を基に修正しても良い。

0285

あるいは、病歴が多い人は、診療期間が長くなる。そこで、図示しない記憶部が、病歴と診療期間(有効期間)との相関情報を保持する。そして、予測部411は、パーソナル情報の性質に対応する有効期間を、病歴情報を基に修正しても良い。

0286

パーソナル有効情報記憶部121は、パーソナル情報と、その有効期間とを記憶する。

0287

なお、情報処理装置400は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。

0288

また、情報処理装置400は、抽出部212、削除部211、変換部312、又は、抽出部311の機能を含んでも良い。

0289

次に、第4の実施形態に係る情報処理装置400の動作(データ処理方法)について、図面を参照して説明する。

0290

図23は、第4の実施形態に係る情報処理装置400の動作の一例を示すフローチャートである。

0291

予測部411は、パーソナル情報記憶部421のパーソナル情報と、相関記憶部422の相関とを基に、パーソナル情報と有効期間とをパーソナル有効情報記憶部121に書き出す(ステップS401)。

0292

具体的には、予測部411は、次のように動作する。

0293

予測部411は、パーソナル情報記憶部421に記憶されているパーソナル情報の性質を、相関記憶部422から検索する。そして、予測部411は、パーソナル情報とその性質に対応する有効期間とをパーソナル有効情報記憶部121に記憶する(書き出す)。予測部411は、パーソナル情報記憶部421に記憶されている全てのパーソナル情報について、同様に、処理する。

0294

図23に示されるステップS101〜S107は、第1の実施形態と同様のため、説明を省略する。

0295

(動作例)
次に、本実施形態の情報処理装置400の予測部411の動作について、具体的なパーソナル情報含むデータを用いて説明する。

0296

図24−26は、情報処理装置400の動作の説明に用いる、パーソナル情報記憶部421、相関記憶部422、及び、パーソナル有効情報記憶部121が記憶するデータの一例を示す図である。

0297

パーソナル情報記憶部421は、例えば、図24に示すデータ4001を記憶する。データ4001は、病状記録として、病状記録の番号(No.)と、患者のZIPコードと、年齢と、病状とを含むデータである。

0298

相関記憶部422は、例えば、図25に示すデータ4002を記憶する。データ4002は、相関として、病状と、有効期間(通院回数)とを含むデータである。

0299

予測部411は、パーソナル情報記憶部421に記憶されている病状記録について、病状記録の病状を相関記憶部422から検索して、有効期間を読み出す。そして、予測部411は、図26に示すデータ4003ように、病状記録と有効期間とをパーソナル有効情報記憶部121に記憶する(ステップS401)。

0300

(本実施形態の効果)
このように、本実施形態の情報処理装置400は、第1〜第3の実施形態の効果に加え、パーソナル情報の有効期間を予測(算出)して、パーソナル有効情報記憶部121に記憶する効果を提供することができる。

0301

その理由は、次のとおりである。

0302

情報処理装置400の予測部411が、パーソナル情報記憶部421及び相関記憶部422が記憶する情報を基に、パーソナル情報と有効期間とを、パーソナル有効情報記憶部121に記憶させるためである。

0303

(変形例1)
情報処理装置400の相関記憶部422は、パーソナル情報の性質を、階層構造を用いて記憶しても良い。さらに、相関記憶部422は、全てのパーソナル情報の性質の有効期間ではなく、一部のパーソナル情報の性質の有効期間を記憶しても良い。つまり、情報処理装置400は、パーソナル情報の性質に階層構造を備え、パーソナル情報の性質の一部に有効期間を付与しても良い。

0304

図面を参照して説明する。

0305

図27は、本実施形態の相関記憶部422が記憶する階層構造のデータの一例を示す図である。

0306

図27において、最上位層概念は、「癌」である。「癌」の下位の層の概念は、「消化器系癌」、「呼吸器系癌」である。さらに、「消化器系癌」の下位の層の概念は、「胃癌」及び「大腸癌」である。また、「呼吸器系癌」の下位の層の概念は、「肺癌」及び「咽頭癌」である。

0307

そして、相関記憶部422は、「癌」の有効期間として「10」を記憶する。

0308

ここで、例えば、予測部411が、「胃癌」の有効期間を検索する場合を想定する。まず、予測部411は、相関記憶部422において、「胃癌」を検索する。そして、予測部411は、「胃癌」が有効期間を記憶しているか否かを判断する。「胃癌」は、有効期間を記憶していない。そこで、予測部411は、有効期間が見つかるまで、相関記憶部422の階層構造を、上位概念方向に検索する(辿る)。今の場合、有効期間の「10」が、最上位の「癌」に、記憶されている。そのため、予測部411は、階層構造を辿り、「癌」の有効期間「10」を、「胃癌」の有効期間として、検索する。

0309

このように、予測部411は、個別には有効期間が付与されていないパーソナル情報の性質の有効期間を、予測できる。

0310

本変形例の効果について説明する。

0311

本変形例の相関記憶部422は、記憶容量を削減する効果、及び、有効期間が付与されていない性質の有効期間を与える効果を得ることができる。

0312

その理由は、次のとおりである。

0313

性質が有効期間を含まない場合、予測部411は、有効期間を含む性質まで、階層構造に沿って検索する。

0314

そのため、本変形例の相関記憶部422は、全ての性質の有効期間を記憶する必要がなく、一部の性質の有効期間を記憶すれば良い。つまり、相関記憶部422は、記憶する有効期間を削減できるためである。

0315

また、予測部411は、有効期間が付与されていない性質の有効期間を予測できるためである。

0316

<第5の実施形態>
第5の実施形態について、図面を参照して説明する。なお、第1から第4の実施形態の同様の構成又はステップには、同じ符号を付し、明細書中の説明を省略する場合がある。

0317

まず、第5の実施形態に係る情報処理装置500の構成について説明する。

0318

図28は、本実施形態に係る情報処理装置500の構成の一例を示すブロック図である。

0319

情報処理装置500は、入力部511と、分析部512と、予測部411と、抽出部111と、変換部112と、履歴記憶部521と、パーソナル情報記憶部421と、相関記憶部422と、パーソナル有効情報記憶部121と、結果記憶部122とを含む。

0320

第4の実施形態に係る情報処理装置400は、パーソナル情報の性質と有効期間との相関が既に与えられていることを前提とする。

0321

一方、本実施形態の情報処理装置500は、情報処理装置400と、パーソナル情報の性質と有効期間との相関を導出する点で、相違する。そのため、同じ構成についての説明を省略し、相違する構成について以下に説明する。

0322

入力部511は、パーソナル情報が付与された登録要求、及び、パーソナル情報を指定した削除要求を受け取る。

0323

ここで、パーソナル情報が付与された登録要求とは、情報処理装置500に登録するパーソナル情報を含む、パーソナル情報の登録要求である。

0324

また、パーソナル情報を指定した削除要求とは、削除するパーソナル情報を指定するための情報を含む削除要求である。

0325

なお、入力部511は、要求の送信元を特に限定されない。例えば、入力部511は、パーソナル情報の管理者が操作する端末、又は、ユーザが保有する携帯端末から、要求を受け取っても良い。

0326

パーソナル情報が付与された登録要求を受け取った場合、入力部511は、そのパーソナル情報と、登録要求を受け付けた時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する。さらに、入力部511は、パーソナル情報記憶部421に、受け取ったパーソナル情報を記憶する。

0327

一方、パーソナル情報を指定した削除要求を受け取った場合、入力部511は、そのパーソナル情報と、削除要求を受け付けた時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する。さらに、入力部511は、パーソナル情報記憶部421から、削除要求のパーソナル情報を削除する。

0328

分析部512は、履歴記憶部521に記憶されているパーソナル情報の登録時刻削除時刻日時と基に、パーソナル情報の有効期間を分析(算出)する。分析部512は、履歴記憶部521に記憶されているパーソナル情報の性質と、算出した有効期間との相関を導出する。そして、分析部512は、パーソナル情報の性質とその有効期間との相関を、相関記憶部422に記憶する。

0329

なお、分析部512は、同様の属性値を含む複数のパーソナル情報を用いて、有効期間を分析(算出)しても良い。

0330

例えば、パーソナル情報が年齢を含む場合、分析部512は、所定の年齢範囲を含むパーソナル情報の有効期間の平均値又は最大値を、有効期間としても良い。

0331

履歴記憶部521は、上記に加え、パーソナル情報として、パーソナル情報の識別子と、パーソナル情報の性質と、そのパーソナル情報がパーソナル情報記憶部421に記憶されている期間とを記憶することが望ましい。

0332

なお、情報処理装置500は、情報処理装置100と同様に、図8に示すコンピュータで構成されても良い。

0333

また、情報処理装置500は、抽出部212、削除部211、変換部312、又は、抽出部311の機能を含んでも良い。

0334

次に、第5の実施形態に係る情報処理装置500の動作(データ処理方法)について、図面を参照して説明する。

0335

図29−31は、本実施形態に係る情報処理装置500の動作の一例を示すフローチャートである。

0336

情報処理装置500は、動作として、図29に示される「登録フェーズ」と、図30に示される「削除フェーズ」と、図31に示される「分析フェーズ」とを含む。

0337

まず、図29に示される登録フェーズの動作について説明する。

0338

入力部511は、パーソナル情報が付与された登録要求を受信する。そして、入力部511は、パーソナル情報と、そのパーソナル情報の登録要求を受信した時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する(ステップS501)。

0339

さらに、入力部511は、パーソナル情報記憶部421に、受信したパーソナル情報を記憶する(ステップS503)。

0340

なお、入力部511は、登録要求を、定期的に受信しても良く、不定期に受信してもよい。

0341

次に、図30に示される削除フェーズの動作について説明する。

0342

入力部511は、パーソナル情報が指定された削除要求を受信する。そして、入力部511は、パーソナル情報と、そのパーソナル情報の削除要求を受信した時刻(例えば、年月、日付、又は、日時)とを、履歴記憶部521に記憶する(ステップS505)。

0343

さらに、入力部511は、削除要求のパーソナル情報を、パーソナル情報記憶部421から削除する(ステップS507)。

0344

なお、入力部511は、削除要求を、定期的に受信しても良く、不定期に受信してもよい。

0345

次に、図31に示される分析フェーズの動作について説明する。

0346

分析部512は、履歴記憶部521に登録時刻と削除時刻との両方が登録されているパーソナル情報を読み出し、パーソナル情報の有効期間を算出する。つまり、分析部512は、パーソナル情報がパーソナル情報記憶部421に記憶されている期間(有効期間)を導出する。分析部512は、パーソナル情報を基に有効期間を導出する。そのため、有効期間は、パーソナル情報の性質と関連性がある。つまり、分析部512は、パーソナル情報の性質と、パーソナル情報の有効期間との相関を分析する(ステップS509)。

0347

そして、分析部512は、分析した相関として、パーソナル情報の性質と、パーソナル情報の有効期間とを相関記憶部422に記憶する(ステップS511)。

0348

(動作例)
次に、本実施形態の情報処理装置500の動作について、具体的なパーソナル情報を含むデータを用いて説明する。

0349

図32−35は、情報処理装置500の動作の説明に用いる、履歴記憶部521、パーソナル情報記憶部421、及び、相関記憶部422が記憶するデータの一例を示す図である。

0350

まず、2012年5月時点において、履歴記憶部521は、図32に示すデータ5001を記憶する。データ5001は、No.1とNo.3の病状と登録時刻と、No.2の病状と登録時刻と削除時刻とを含むデータである。

0351

また、パーソナル情報記憶部421は、図32に示すデータ5002を記憶する。データ5002は、No.1の病状記録と、No3.の病状記録とを含むデータである。

0352

2012年6月時点において、入力部511は、病状記録(パーソナル情報)が付与された登録要求を受信したとする。入力部511は、図33に示すデータ5003のように、病状記録のNo.の「4」と病状である「癌」とを履歴記憶部521に記憶する(ステップS501)。

0353

また、入力部511は、図33に示すデータ5004のように、パーソナル情報記憶部421に、病状記録4の病状記録を記憶する(ステップS503)。

0354

さらに、入力部511は、No.3の病状記録の削除要求を受信したとする。入力部511は、図33に示すデータ5003のように、履歴記憶部521に記憶されたNo.3の病状記録の「削除」のカラムに、削除要求を受信した時刻(年月)を記憶する(ステップS505)。そして、入力部511は、図33に示すデータ5004のように、パーソナル情報記憶部421に記憶されるNo.3の病状記録を削除する(ステップS507)。

0355

2013年4月時点において、入力部511は、No.1及びNo.4の病状記録の削除要求を受信したとする。入力部511は、図34に示すデータ5005のように、履歴記憶部521のNo.1及びNo.4の病状記録の削除時刻(年月)を登録する。

0356

さらに、入力部511は、図34に示すデータ5006のように、パーソナル情報記憶部421に記憶されていたNo.1及びNo.4の情報を削除する。

0357

分析部512は、履歴記憶部521に記憶されているNo.1からNo.4の病状記録を読み込み、それぞれの病状に対する有効期間を算出する(ステップS509)。

0358

そして、分析部512は、図35に示すデータ5007のように、病状(パーソナル情報の性質)と算出した有効期間との相関を、相関記憶部422に記憶する(ステップS511)。

0359

(本実施形態の効果)
このように、本実施形態の情報処理装置500は、第4の実施形態の効果に加え、パーソナル情報の性質と有効期間との相関の入力を削減できる効果を提供できる。

0360

その理由は、次のとおりである。

0361

情報処理装置500の入力部511は、受信したパーソナル情報と、登録要求の時刻と、削除要求の時刻とを履歴記憶部521に記憶する。

0362

そして、分析部512は、履歴記憶部521が記憶した履歴情報を基に、パーソナル情報の性質と有効期間との相関を算出し、相関記憶部422に記憶するためである。

0363

さらに、情報処理装置500は、有効期間の予測の精度を向上できる効果を得ることができる。

0364

その理由は、次のとおりである。

0365

分析部512は、同様の属性値を含むパーソナル情報の有効期間を基に、有効期間を分析しても良い。誤差は、一般的に、正しい値を中心に分散して発生する。そのため、分析部512は、複数の情報を用いて、誤差の影響を低減できる、つまり、単独の情報が誤差を含む場合でも、分析部512は、同様の属性値を含むパーソナル情報の分析を基に、誤差の影響を低減できる。そのため、情報処理装置500は、適切な有効期間を分析できるからである。

0366

以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

0367

上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

0368

(付記1)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する抽出手段と、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する変換手段と、
を含む情報処理装置。

0369

(付記2)
前記変換手段の変換が前記パーソナル情報の匿名化処理である
付記1に記載の情報処理装置
(付記3)
前記パーソナル情報と、前記パーソナル情報の有効期間との組を記憶するパーソナル有効情報記憶手段と、
前記変換後のパーソナル情報を記憶する結果記憶手段と、
を含む付記1又は付記2に記載の情報処理装置。

0370

(付記4)
変換する前のパーソナル情報が前記パーソナル有効情報記憶手段に記憶されていない前記変換後のパーソナル情報を前記結果記憶手段から削除する削除手段を含み、
前記抽出手段が、前記変換手段が変換していない前記パーソナル有効情報記憶手段に記憶されているパーソナル情報を要素とする集合を抽出する
付記3に記載の情報処理装置。

0371

(付記5)
前記抽出手段が、所定の期間より長い有効期間のパーソナル情報の集合と所定の期間より短い有効期間のパーソナル情報の集合とを抽出し、
前記変換手段が、有効期間が短いパーソナル情報の集合に含まれるパーソナル情報の少なくとも一部と前記変換後のパーソナル情報の少なくとも一部とが同様の変換後のパーソナル情報となるように、前記パーソナル情報の一部及び前記変換後のパーソナル情報の一部を変換する
付記1乃至付記4のいずれか1項に記載の情報処理装置。

0372

(付記6)
前記抽出手段が、前記所定の期間より長い有効期間のパーソナル情報の集合を複数抽出し、
前記変換手段が、前記抽出した複数の集合毎に前記パーソナル情報を変換する
付記5に記載の情報処理装置。

0373

(付記7)
パーソナル情報と、パーソナル情報の性質と有効期間との相関と、を基に、前記パーソナル情報の有効期間を予測する予測手
を含む付記1乃至付記6のいずれか1項に記載の情報処理装置。

0374

(付記8)
前記予測手段が、
前記パーソナル情報に含まれる属性値を用いて有効期間を予測する
付記7に記載の情報処理装置。

0375

(付記9)
前記パーソナル情報の性質が階層構造を備え、前記性質の一部に有効期間を付与する
付記7又は付記8に記載の情報処理装置。

0376

(付記10)
前記予測手段が、前記パーソナル情報の性質の階層構造を辿って前記有効期間を検索する
付記9に記載の情報処理装置。

0377

(付記11)
前記パーソナル情報が記憶された時刻と、前記パーソナル情報が削除された時刻とを基に、前記パーソナル情報の有効期間を分析する分析手段、
を含む付記1乃至付記10のいずれか1項に記載の情報処理装置。

0378

(付記12)
前記分析手段が、
前記パーソナル情報と同様の属性値を含むパーソナル情報の有効期間を基に、有効期間を分析する
付記11に記載の情報処理装置。

0379

(付記13)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出し、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する
データ処理方法。

0380

(付記14)
個人に関連する属性値を含むパーソナル情報と前記パーソナル情報の有効期間とを基に、所定の範囲の期間に含まれる有効期間に対応するパーソナル情報を要素とする集合を抽出する処理と、
前記集合に含まれるパーソナル情報を、匿名性を満たす情報に変換する処理と
をコンピュータに実行させるプログラム。

0381

100情報処理装置
101 情報処理装置
111 抽出部
112 変換部
121パーソナル有効情報記憶部
122 結果記憶部
200 情報処理装置
211 削除部
212 抽出部
300 情報処理装置
311 抽出部
312 変換部
400 情報処理装置
411予測部
421パーソナル情報記憶部
422相関記憶部
500 情報処理装置
511 入力部
512分析部
521履歴記憶部
600 情報処理装置
610 CPU
620 ROM
630 RAM
640内部記憶装置
650IOC
660入力機器
670表示機器
680 NIC
700記憶媒体
1001 データ
1002 データ
1003 データ
1004 データ
2001 データ
2002 データ
2003 データ
2004 データ
2005 データ
3001 データ
3002 データ
3003 データ
3004 データ
3005 データ
4001 データ
4002 データ
4003 データ
5001 データ
5002 データ
5003 データ
5004 データ
5005 データ
5006 データ
5007 データ
9001 データ
9002 データ

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • 沖電気工業株式会社の「 交換機およびトレース情報取得方法」が 公開されました。( 2019/09/12)

    【課題】交換機のトレース情報を、個人情報を秘匿化して外部の記憶媒体に記憶する。【解決手段】交換機10は、自身の交換機10の内部動作情報であるトレース情報を取得するトレース情報出力制御部(トレース情報取... 詳細

  • 株式会社レイズの「 端末装置、情報処理装置および情報処理方法」が 公開されました。( 2019/09/12)

    【課題】患者の取り違えを防止し、セキュリティを従来より向上させること【解決手段】 患者識別情報を用いて導き出された第1患者医療情報を取得する第1取得部と、取得した第1患者医療情報を表示する第1医療情... 詳細

  • 東芝ライフスタイル株式会社の「 冷蔵庫」が 公開されました。( 2019/09/12)

    【課題】生体情報の管理を継続的に行うことができる冷蔵庫を提供する。【解決手段】実施形態の冷蔵庫は、操作パネルが設けられている貯蔵室の扉に設けられ、冷蔵庫を利用する人の生体情報を取得する生体情報取得手段... 詳細

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ