JP6711519B2 - Evaluation device, evaluation method and program - Google Patents
Evaluation device, evaluation method and program Download PDFInfo
- Publication number
- JP6711519B2 JP6711519B2 JP2016126008A JP2016126008A JP6711519B2 JP 6711519 B2 JP6711519 B2 JP 6711519B2 JP 2016126008 A JP2016126008 A JP 2016126008A JP 2016126008 A JP2016126008 A JP 2016126008A JP 6711519 B2 JP6711519 B2 JP 6711519B2
- Authority
- JP
- Japan
- Prior art keywords
- target data
- identification risk
- individual identification
- individual
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
Description
本発明は、匿名化した情報を評価する評価装置、評価方法及びこれを実現するためのプログラムに関する。 The present invention relates to an evaluation device for evaluating anonymized information, an evaluation method, and a program for realizing the same.
近年、IT技術の発展により、個人情報が非常に漏洩し易い状況となっている。このため、個人情報の保護の重要性が叫ばれており、個人情報に対して、個人の識別を困難にする加工処理を施すことが提案されている。このような加工処理の1つとして、k匿名化処理が知られている。 In recent years, due to the development of IT technology, personal information is very easily leaked. Therefore, the importance of protecting personal information is being emphasized, and it has been proposed that the personal information be processed to make it difficult to identify the individual. A k-anonymization process is known as one of such processing processes.
k匿名化処理では、対象となるデータ内に、同じ属性を持つデータがk件以上存在するようにデータが加工される。例えば、郵便番号、性別、年齢、趣味を項目とする個人データが存在する場合に、k=3が設定されているとする。この場合に、k匿名化処理が実行されると、各項目が全て一致する個人の数がk=3人以上となるように、郵便番号の下数桁を削除したり、年齢を切り上げたり、といったデータの加工が行なわれている。 In the k-anonymization process, data is processed so that there are k or more data having the same attribute in the target data. For example, it is assumed that k=3 is set when personal data having items such as postal code, sex, age, and hobby exists. In this case, when the k anonymization process is executed, the lower digits of the postal code are deleted or the age is rounded up so that the number of individuals whose items all match is k=3 or more. Is being processed.
これに関連し、例えば、特許文献1では、データベースに対して匿名化処理を施した際に、過度な情報損失が生じているか否かを判定し、判定した判定結果によって、情報有用性を算出することが開示されている。
In relation to this, for example, in
また、特許文献2では、個人情報を含む匿名化データから個人が一意に特定されるリスクレベルを分析する情報匿名化システムが開示されている。開示された情報匿名化システムは、匿名化データを構成するレコードごとに、リスクを定量的に分析し、分析されたレコードごとのリスクに基づいて、特定の尺度に従って匿名化データのリスクレベルを算出し、算出されたリスクレベルを出力する。
In addition,
ここで、kの値を高く設定する程、個人情報の漏洩リスクを低減することになるが、個人情報を利用する際の有用性は低下することになる。一方、kの値を低く設定する程、個人情報を利用する際の有用性は高くなるが、個人情報の漏洩リスクは高まることになる。 Here, as the value of k is set higher, the risk of leakage of personal information is reduced, but the usefulness when using personal information is reduced. On the other hand, the lower the value of k is set, the more useful the personal information is, but the higher the risk of leakage of the personal information.
特許文献1では、匿名化した個人の匿名化データに対し、過度に情報損失が生じているか否かの判定を行い、匿名化した個人情報の有用性の算出を行っているが、個人情報の漏洩リスクを妨げる点については考慮されていない。
In
特許文献2では、個人情報の漏洩リスクについてリスク分析装置を用い、リスクレベルを分析することで個人情報の漏洩リスクを解決しているが、過剰に漏洩リスクを防止すると情報の有用性が失われてしまうおそれがある、という点については考慮されていない。
In
そこで、情報有用性と漏洩リスクの双方を評価し、kの値を適正な値に設定することが求められる。 Therefore, it is required to evaluate both information usefulness and leakage risk and set the value of k to an appropriate value.
本発明の目的の一例は、上記問題点を解消し、k匿名化処理を行なったデータに対する評価を行ない得る、評価装置、評価方法及びプログラムを提供することにある。 An example of the object of the present invention is to provide an evaluation device, an evaluation method, and a program that can solve the above-mentioned problems and can evaluate the data subjected to the k-anonymization process.
上記目的を達成するため、本発明の一側面における評価装置は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価装置であって、
前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする。
In order to achieve the above object, an evaluation device according to one aspect of the present invention is an evaluation device that evaluates data including personal information acquired from a plurality of individuals as target data,
Possibility of grasping the existence of the individual from which the personal information is acquired from the target data, evaluating as a personal identification risk, a personal identification risk evaluation unit,
The possibility that the individual from whom the personal information is acquired is identified from the target data, is evaluated as an individual identification risk, and an individual identification risk evaluation unit,
A usefulness evaluation unit that evaluates usefulness when anonymization processing is performed on the target data,
It is characterized by having.
また、上記目的を達成するため、本発明の一側面における評価方法は、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なう評価方法であって、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価するする、ステップと、を有することを特徴とする。
Further, in order to achieve the above object, an evaluation method according to one aspect of the present invention is an evaluation method in which data including personal information acquired from a plurality of individuals is evaluated as target data,
(A) evaluating the possibility that the existence of an individual who has acquired the personal information from the target data is known as a personal identification risk;
(B) evaluating the possibility that an individual from whom the personal information is acquired from the target data is identified as an individual identification risk;
(C) a step of evaluating the usefulness when the anonymization process is performed on the target data.
また、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータによって、複数の個人から取得された個人情報を含むデータを対象データとして評価を行なうためのプログラムであって、
前記コンピュータに、
(a)前記対象データから前記個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(C)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させることを、を特徴とする。
In order to achieve the above object, the program according to one aspect of the present invention is
A program for evaluating data including personal information obtained from a plurality of individuals as target data by a computer,
On the computer,
(A) evaluating the possibility that the existence of an individual who has acquired the personal information from the target data is known as a personal identification risk;
(B) evaluating the possibility that an individual from whom the personal information is acquired from the target data is identified as an individual identification risk;
(C) a step of evaluating the usefulness when anonymization processing is performed on the target data,
Is carried out.
以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。 As described above, according to the present invention, it is possible to evaluate the data subjected to the k-anonymization process.
(実施の形態)
以下、本発明の実施の形態における評価装置、評価方法及びプログラムについて、図1〜図10を参照しながら説明する。
(Embodiment)
Hereinafter, an evaluation device, an evaluation method, and a program according to an embodiment of the present invention will be described with reference to FIGS.
[装置構成]
最初に、本実施の形態における評価装置の概略構成について図1を用いて説明する。図1は、本発明の実施形態1に係る評価装置の概略構成を示すブロック図である。
[Device configuration]
First, a schematic configuration of the evaluation device according to the present embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing a schematic configuration of an evaluation device according to the first embodiment of the present invention.
図1に示す本実施の形態における評価装置10は、複数の個人の個人情報を含むデータを対象データとして評価を行なう装置である。図1に示すように、本実施形態における評価装置10は、個人識別リスク評価部11と、個人特定リスク評価部12と、有用性評価部13とを備えている。
The
個人識別リスク評価部11は、対象データから個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する。個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する。有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する。
The personal identification
ここで、「識別」とは、誰かひとりの情報がわかることと定義する。「特定」とは、誰の情報であるかがわかることと定義する。「識別」は、「特定」よりも広義の意である。「特定」されているならば、当然に「識別」されていることとなる。k匿名化は、「特定」を防止するために、「識別」を困難にする技術であると言える。 Here, “identification” is defined as the fact that the information of each person is known. “Specific” is defined as knowing who the information is. “Identification” has a broader meaning than “identification”. If "identified", then naturally "identified". It can be said that k anonymization is a technique that makes “identification” difficult in order to prevent “identification”.
このように、本実施の形態では、データは、個人識別リスク、個人特定リスク、有用性の三点において評価される。本実施の形態によれば、k匿名化処理を行なったデータに対する評価が可能となる。 As described above, in the present embodiment, the data is evaluated based on three points of individual identification risk, individual identification risk, and usefulness. According to the present embodiment, it is possible to evaluate the data that has undergone k-anonymization processing.
続いて、図2を参照し、本実施の形態における評価システム1について更に具体的に説明する。図2は、本実施の形態における評価装置を具体的に示すブロック図である。
Subsequently, the
図2に示すように、本実施の形態においては、評価装置10には、個人情報を管理するデータベース20と、評価者が利用する端末装置30とがネットワーク等を介して接続されている。
As shown in FIG. 2, in the present embodiment, a
データベース20は、個人情報を格納している。また、データベース20は、匿名化された個人情報を格納していても良い。個人情報は、例えば、住所、氏名、電話番号、年齢、国籍といった、個人を特定する可能性を備えた準識別子を有しており、複数の準識別子で構成されている。また、匿名化は、例えば、設定されたレベルの値がAである場合に、準識別子が共通する個人がA人存在するように、準識別子の内容を変更することによって行なわれる。
The
また、図2に示すように、本実施の形態においては、評価装置10は、上述した個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に加えて、データ取得部14とデータ出力部15とを備えている。
In addition, as shown in FIG. 2, in the present embodiment, the
データ取得部14は、データベース20から、個人情報又は匿名化された個人情報を対象データとして取得する。データ出力部15は、個人識別リスク評価部11から得られた個人識別リスクと、個人特定リスク評価部12から得られた個人特定リスクと、有用性評価部13から得られた有用性とを、端末装置30に送信する。これにより、端末装置30の画面上には、個人情報の各リスクと有用性とが表示される。
The
個人識別リスク評価部11は、本実施の形態では、対象データ中の個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求めることによって、個人識別リスクを評価する。つまり、個人識別リスク評価部11は、準識別子から識別できるレコード数をカウントし、誰かのレコードに識別できるレコードがいくつ存在するかを、個人識別リスクとして算出する。
In the present embodiment, the personal identification
個人特定リスク評価部12は、本実施の形態では、個人識別リスク評価部12によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。つまり、個人特定リスク評価部12は、個人識別の危険性の評価結果に対して、更に攻撃者がどの程度準識別子をしっているかを考慮して、個人特定リスクを算出する。
In the present embodiment, the individual identification
有用性評価部13は、本実施の形態では、対象データのレコード数と、対象データに対して匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価する。具体的には、有用性評価部13は、対象データの匿名化前のレコード数と、匿名化後のレコード数とを比較し、匿名化によって、どの程度のレコードが削除されたかを評価する。
In this embodiment, the
[装置動作]
次に、本実施の形態における評価装置10の動作の一例について図3を用いて説明する。図3は、本発明の実施の形態における評価装置の動作を示すフロー図である。また、以下の説明においては、適宜図1および図2を参酌する。また、本実施の形態では、評価装置10を動作させることによって、評価方法が実施される。よって、本実施の形態における評価方法の説明は、以下の評価装置10の動作説明に代える。
[Device operation]
Next, an example of the operation of the
図3に示すように、最初に、データ取得部14は、データベース20から、対象データとして個人情報を取得する(ステップA1)。また、データ取得部14は、取得した対象データを、個人識別リスク評価部11、個人特定リスク評価部12、及び有用性評価部13に入力する。
As shown in FIG. 3, first, the
次に、個人識別リスク評価部11は、ステップA1で取得された対象データから、個人情報の取得元の個人の存在が把握される可能性を、個人識別リスクとして評価する(ステップA2)。また、個人識別リスク評価部11は、結果をデータ出力部15に入力する。
Next, the personal identification
次に、個人特定リスク評価部12は、対象データから個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する(ステップA3)。また、個人特定リスク評価部12も、結果をデータ出力部15に入力する。
Next, the individual identification
次に、有用性評価部13は、対象データに対して匿名化処理が行なわれた場合の有用性を評価する(ステップA4)。また、有用性評価部13も、結果をデータ出力部15に入力する。
Next, the
次に、データ出力部15は、ステップA2からステップA4で行なわれた評価を端末措置30に出力する(ステップA5)。
Next, the
続いて、上述したステップA2〜A4それぞれについて、以下により詳細に説明する。 Subsequently, each of the above-described steps A2 to A4 will be described in more detail below.
[ステップA2:個人識別リスク評価処理]
最初に、図4〜図7を用いて、個人識別リスク評価部11による個人識別リスクの評価処理について説明する。図4は、本発明の実施形態において得られた個人識別リスクの評価の一例を示す図である。図5は、本発明の実施形態で行なわれる個人識別リスクの評価処理の一例を説明する図であり、図5(a)〜(c)は一連の処理の流れを示している。図6は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図6(a)〜(d)は一連の処理の流れを示している。図7は、本発明の実施形態で行なわれる個人識別リスクの評価処理の他の例を説明する図であり、図7(a)〜(e)は一連の処理の流れを示している。
[Step A2: Individual identification risk evaluation process]
First, the individual identification risk evaluation processing by the individual identification
図4に示すように、本実施の形態では、個人識別リスク評価部11は、個人情報が記録されたテーブルの特定の準識別子の部分におけるk匿名化処理されて得られたデータが、対象データとなっている。つまり、図4において、一行目の行は、「匿名化後テーブル_パターン1」の「年齢」及び「性別」のデータに対して、k=10でk匿名化処理を行なうことで得られた匿名化後データが、対象データであることを示している。
As shown in FIG. 4, in the present embodiment, the personal identification
また、個人識別リスク評価部11は、対象データ中の特定の準識別子の値が一致するレコードの個数を算出し、算出した個数から、対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求める。図4に示すように、この「人数」が、個人識別リスクの評価となる。
Further, the personal identification
具体的には、例えば、対象データにおいて、特定の準識別子が、単一値の組み合わせであるとする。「単一値」は、単一属性のデータであり、年齢、性別といった個人が単一の値しか持たない準識別子である。この場合、図5に示すように、個人識別リスク評価部11は、対象データ(図5(a)参照)から、識別子Ql1及びQl2の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図5(b)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図5(c)参照)。
Specifically, for example, in the target data, the specific quasi-identifier is a combination of single values. The “single value” is data having a single attribute, and is a quasi-identifier in which an individual such as age and sex has only a single value. In this case, as shown in FIG. 5, the personal identification
また、例えば、対象データにおいて、特定の識別子が集合値であるとする。「集合値」は、複合属性のデータであり、病気の種類、地域(職場の場所、居住地)、といった個人が複数の値を持つ可能性がある準識別子である。この場合、図6に示すように、個人識別リスク評価部11は、対象データ(図6(a)参照)から、ユーザ毎に、該当する識別子「地域」の組み合わせを特定する(図6(b)参照)。次に、個人識別リスク評価部11は、識別子「地域」の組み合わせ毎に、該当するユーザの数(レコード数)を求める(図6(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図6(d)参照)。
Further, for example, in the target data, it is assumed that the specific identifier is a set value. The “aggregate value” is data of complex attributes, and is a quasi-identifier in which an individual may have a plurality of values such as the type of illness and area (work place, place of residence). In this case, as shown in FIG. 6, the personal identification
また、例えば、対象データにおいて、特定の識別子が単一値と集合値との組合せであるとする。この場合、図7に示すように、個人識別リスク評価部11は、まず、対象データの集合値の部分(図7(a)参照)と、対象データの単一値の部分(図7(b)参照)とを結合する(図7(c)参照)。次に、個人識別リスク評価部11は、識別子qi1と識別子「地域」との組み合わせ毎に、該当するユーザの数(レコード数)を求める(図7(c)参照)。次に、個人識別リスク評価部11は、kの値毎に、k人に識別されるユーザの人数を求める(図7(d)参照)。
Further, for example, in the target data, the specific identifier is a combination of a single value and a set value. In this case, as shown in FIG. 7, the personal identification
[ステップA3:個人特定リスク評価処理]
続いて、図8を用いて、個人特定リスク評価部12による個人特定リスクの評価処理について説明する。図8は、本発明の実施の形態において行なわれる個人特定リスクの評価処理を説明するための図であり、個人情報の一例を示している。
[Step A3: Individual identification risk evaluation process]
Next, with reference to FIG. 8, the individual identification risk evaluation processing by the individual identification
個人特定リスク評価部12は、個人識別リスク評価部11によって得られた個人識別リスクと、準識別子毎に予め設定された、各準識別子から個人が特定される危険性を示す係数とに基づいて、個人特定リスクを評価する。具体的には、個人特定リスク評価部12は、例えば、下記の数1に示す式によって、個人特定リスクfを算出する。
The individual identification
(数1)
f=(1/k)×r
(Equation 1)
f=(1/k)×r
上記数1において、kは、個人識別リスク評価部11によって算出された個人識別リスクである。rは、各準識別子から個人が特定される危険性を示す係数である。以下、rを「評価パラメータ」と表記する。
In the above
評価パラメータは、準識別子の内容、準識別子の値、対象データの利用先等に基づいて、適宜設定される。例えば、個人情報が図5に示すものであるとする。 The evaluation parameter is appropriately set based on the content of the quasi-identifier, the value of the quasi-identifier, the usage destination of the target data, and the like. For example, assume that the personal information is as shown in FIG.
図8の例では、準識別子である、年齢、性別、診療年月、傷病は、外部の別のデータでも使用されている可能性があり、このうち、年齢及び性別は、傷病よりも別のデータに存在する可能性が高いと考えられる。従って、対象データにおける特定の識別子が傷病の場合は、特定の識別子が年齢及び性別の場合に比べて、個人が特定される可能性は低くなるので、評価パラメータrの値も小さく設定される。 In the example of FIG. 8, the quasi-identifiers age, sex, medical treatment date, and injury/disease may be used in other external data as well, of which age and sex are different from injury/illness. It is highly likely that it exists in the data. Therefore, when the specific identifier in the target data is injury or illness, the possibility of identifying the individual is lower than in the case where the specific identifier is age or sex, and thus the value of the evaluation parameter r is set small.
また、対象データデータにおける特定の識別子が傷病である場合において、心臓病は、風邪よりも別のデータに存在する可能性が低いと考える。従って、対象データにおける特定の識別子が傷病である場合であっても、風邪のレコード数が比較的多い場合は、評価パラメータrの値は大きく設定され、風邪のレコード数が比較的少ない場合は、評価パラメータrの値は小さく設定される。 Moreover, when the specific identifier in the target data data is injury or illness, heart disease is less likely to be present in another data than cold. Therefore, even when the specific identifier in the target data is injury or illness, the value of the evaluation parameter r is set to a large value when the number of cold records is relatively large, and when the number of cold records is relatively small, The value of the evaluation parameter r is set small.
また、個人特定リスク評価部12は、下記の数2に示す式によって、個人特定リスクfを算出することもできる。
Further, the individual identification
(数2)
f=k×R
(Equation 2)
f=k×R
上記数2において、kは、数1と同様に、個人識別リスク評価部11によって算出された個人識別リスクである。Rは、共有率である。共有率は、対象となる識別子を攻撃者がどのくらいの確率で事前知識として知っているかの可能性を示しており、0以上1以下の範囲で設定される。例えば、識別子が性別のみの場合は、知られやすいので0.9に設定され、年齢のみの場合は0.7に設定される。また、識別子が年齢と性別との組み合わせの場合は、多少知られにくくなるので、例えば、0.5に設定される。
In
[ステップA4:有用性評価処理]
次に、図9を用いて、有用性評価部13による有用性の評価処理について説明する。図9は、本発明の実施の形態で行なわれた有用性の評価の一例を示す図である。図9において、横軸は、k匿名化処理におけるkの値を示し、縦軸は、k匿名化処理の前後におけるレコードの減少率を示している。
[Step A4: Usability Evaluation Processing]
Next, the utility evaluation processing by the
図9に示すように、有用性評価部13は、対象データのレコード数と、対象データに対してk匿名化処理が行なわれた場合の対象データのレコード数とを用いて、有用性を評価している。具体的には、有用性評価部13は、kの値を変えて、対象データの匿名化前のレコード数に対する、k匿名化後のレコード数の割合(減少率)を算出し、算出結果をグラフ化する。
As shown in FIG. 9, the
このように、図9に示すグラフによれば、評価者は、k匿名化処理によってどの程度のレコードが削除されるのかを視覚で把握することができる。この結果、評価者は、k匿名化後の評価対象データの有用性を把握できる。 Thus, according to the graph shown in FIG. 9, the evaluator can visually understand how many records are deleted by the k-anonymization process. As a result, the evaluator can grasp the usefulness of the evaluation target data after the anonymization of k.
[実施の形態における効果]
以上のように、本実施の形態よれば、個人特定リスク、個人識別リスク、有用性を評価するツールを提供でき、リスクと有用性とのバランスのとれたガイドライン策定に貢献することが可能となる。
[Effects of Embodiment]
As described above, according to the present embodiment, it is possible to provide a tool for evaluating individual identification risk, individual identification risk, and usefulness, and it is possible to contribute to the formulation of guidelines that balance risk and usefulness. ..
[プログラム]
本実施の形態におけるプログラムは、コンピュータに、図3に示すステップA1〜A5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における評価装置10と評価方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15として機能し、処理を行なう。
[program]
The program in the present embodiment may be any program that causes a computer to execute steps A1 to A5 shown in FIG. The
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、個人識別リスク評価部11、個人特定リスク評価部12、有用性評価部13、データ取得部14、及びデータ出力部15のいずれかとして機能しても良い。
Further, the program according to the present embodiment may be executed by a computer system constructed by a plurality of computers. In this case, for example, each computer may function as any one of the personal identification
ここで、本実施の形態におけるプログラムを実行することによって、評価装置10を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態における評価装置を実現するコンピュータの一例を示すブロック図である。
Here, a computer that realizes the
図10に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
As shown in FIG. 10, the
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
The
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
Further, as a specific example of the
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
The data reader/
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
As a specific example of the
また、本実施の形態における評価装置10は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、評価装置10は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
The
以上のように、本発明によれば、k匿名化処理を行なったデータに対する評価を行なうことができる。本発明は、個人情報の匿名化求められる種々の分野において有用である。 As described above, according to the present invention, it is possible to evaluate the data subjected to the k-anonymization process. The present invention is useful in various fields in which anonymization of personal information is required.
10 評価装置
11 個人識別リスク評価部
12 個人特定リスク評価部
13 有用性評価部
14 データ取得部
15 データ出力部
20 データベース
30 端末装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
10
112
Claims (9)
前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求め、求めた人数を個人識別リスクとして評価する、個人識別リスク評価部と、
前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、個人特定リスク評価部と、
前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、有用性評価部と、
を備えていることを特徴とする評価装置。 An evaluation device for evaluating data including personal information acquired from a plurality of individuals as target data,
The number of records in which the values of the quasi-identifiers forming the personal information match is calculated, and from the calculated number, the number of people identified by k when the anonymization process is performed on the target data is obtained . An individual identification risk evaluation unit that evaluates the calculated number of people as an individual identification risk,
The possibility that the individual from whom the personal information is acquired is identified from the target data, is evaluated as an individual identification risk, and an individual identification risk evaluation unit,
A usefulness evaluation unit that evaluates usefulness when anonymization processing is performed on the target data,
An evaluation device comprising:
請求項1に記載の評価装置。 The individual identification risk evaluation unit evaluates the individual identification risk based on the individual identification risk and a coefficient that is preset for each of the quasi-identifiers and indicates a risk that an individual is identified from the quasi-identifier.
The evaluation device according to claim 1 .
請求項1または2に記載の評価装置。 The usefulness evaluation unit evaluates the usefulness by using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data,
The evaluation device according to claim 1 or 2 .
(a)前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求め、求めた人数を個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(c)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を有することを特徴とする評価方法。 An evaluation method in which a computer evaluates data including personal information acquired from a plurality of individuals as target data,
(A) The number of records in which the values of the quasi-identifiers that form the personal information match, and the number of records identified by k when the anonymization process is performed on the target data from the calculated number And evaluate the calculated number of people as a personal identification risk, and
(B) evaluating the possibility that an individual from whom the personal information is acquired from the target data is identified as an individual identification risk;
(C) a step of evaluating the usefulness when anonymization processing is performed on the target data, and
An evaluation method comprising:
請求項4に記載の評価方法。 In the step (b), the individual identification risk is evaluated based on the individual identification risk and a coefficient that is preset for each of the quasi-identifiers and indicates a risk of identifying an individual from the quasi-identifier. ,
The evaluation method according to claim 4 .
請求項4または5に記載の評価方法。 In the step (c), the usefulness is evaluated using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data.
The evaluation method according to claim 4 or 5 .
前記コンピュータに、
(a)前記個人情報を構成する準識別子の値が一致するレコードの個数を算出し、算出した個数から、前記対象データに対してk匿名化処理を実行した場合のk人に識別される人数を求め、求めた人数を個人識別リスクとして評価する、ステップと、
(b)前記対象データから前記個人情報の取得元の個人が特定される可能性を、個人特定リスクとして評価する、ステップと、
(c)前記対象データに対して匿名化処理が行なわれた場合の有用性を評価する、ステップと、
を実行させる、プログラム。 A program for evaluating data including personal information obtained from a plurality of individuals as target data by a computer,
On the computer,
(A) The number of records in which the values of the quasi-identifiers that form the personal information match, and the number of records identified by k when the anonymization process is performed on the target data from the calculated number And evaluate the calculated number of people as a personal identification risk, and
(B) evaluating the possibility that an individual from whom the personal information is acquired from the target data is identified as an individual identification risk;
(C) a step of evaluating the usefulness when anonymization processing is performed on the target data, and
A program that runs
請求項7に記載のプログラム。 In the step (b), the individual identification risk is evaluated based on the individual identification risk and a coefficient that is preset for each of the quasi-identifiers and indicates a risk of identifying an individual from the quasi-identifier. ,
The program according to claim 7 .
請求項7または8に記載のプログラム。
In the step (c), the usefulness is evaluated using the number of records of the target data and the number of records of the target data when anonymization processing is performed on the target data.
The program according to claim 7 .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126008A JP6711519B2 (en) | 2016-06-24 | 2016-06-24 | Evaluation device, evaluation method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126008A JP6711519B2 (en) | 2016-06-24 | 2016-06-24 | Evaluation device, evaluation method and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017228255A JP2017228255A (en) | 2017-12-28 |
| JP6711519B2 true JP6711519B2 (en) | 2020-06-17 |
Family
ID=60889290
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016126008A Active JP6711519B2 (en) | 2016-06-24 | 2016-06-24 | Evaluation device, evaluation method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6711519B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7070994B2 (en) * | 2018-06-01 | 2022-05-18 | 日本電気株式会社 | Processing equipment, processing methods and programs |
| KR102218374B1 (en) * | 2019-04-17 | 2021-02-19 | 연세대학교 산학협력단 | Method and Apparatus for Measuring Quality of De-identified Data for Unstructured Transaction |
| CN110516967B (en) * | 2019-08-28 | 2024-05-10 | 腾讯科技(深圳)有限公司 | Information evaluation method and related device |
| JP7031084B2 (en) | 2020-01-14 | 2022-03-07 | 三菱電機株式会社 | Anonymous processing evaluation system, anonymous processing evaluation method and anonymous processing evaluation program |
| JP7642350B2 (en) * | 2020-11-12 | 2025-03-10 | キヤノン株式会社 | Information processing device, information processing method, information processing system, and program |
| WO2023073841A1 (en) * | 2021-10-27 | 2023-05-04 | 株式会社日立製作所 | Data value evaluation system and data value evaluation method |
| JP2025015941A (en) | 2023-07-21 | 2025-01-31 | トヨタ自動車株式会社 | Information processing device |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014229039A (en) * | 2013-05-22 | 2014-12-08 | 株式会社日立製作所 | Privacy protection type data provision system |
| WO2016067566A1 (en) * | 2014-10-29 | 2016-05-06 | 日本電気株式会社 | Information processing device, information processing method, and recording medium |
-
2016
- 2016-06-24 JP JP2016126008A patent/JP6711519B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017228255A (en) | 2017-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6711519B2 (en) | Evaluation device, evaluation method and program | |
| JP6597066B2 (en) | Personal information anonymization method, program, and information processing apparatus | |
| US12105836B2 (en) | System and method for handling anonymous biometric and/or behavioral data | |
| Hu et al. | Causal comparative effectiveness analysis of dynamic continuous‐time treatment initiation rules with sparsely measured outcomes and death | |
| JP2014216009A (en) | Detecting anomaly in work practice data by combining multiple domains of information | |
| US9754129B2 (en) | Data securing device, recording medium, and data securing method | |
| CN112487021B (en) | Business data association analysis method, device and equipment | |
| CN116521511A (en) | Risk code pre-detection method, device, equipment and storage medium | |
| US11238960B2 (en) | Determining journalist risk of a dataset using population equivalence class distribution estimation | |
| CN117407908A (en) | A method for anonymizing multi-relational data sets | |
| CN112395630A (en) | Data encryption method and device based on information security, terminal equipment and medium | |
| JP6747438B2 (en) | Information processing apparatus, information processing method, and program | |
| JP7070994B2 (en) | Processing equipment, processing methods and programs | |
| JP2020035066A (en) | Information concealment method, information concealment program, information concealment device, and information providing system | |
| WO2017203672A1 (en) | Item recommendation method, item recommendation program, and item recommendation apparatus | |
| JP2017126112A (en) | Server, distributed server system, and information processing method | |
| JP6618875B2 (en) | Evaluation apparatus, evaluation method, and evaluation program | |
| JP6833613B2 (en) | Risk assessment equipment, risk assessment methods, and computer programs | |
| JP6879107B2 (en) | Anonymity evaluation device, anonymity evaluation method and anonymity evaluation program | |
| JP2024084359A (en) | Display control method and display control program | |
| JP6610334B2 (en) | Leakage risk providing apparatus, leakage risk providing method, and leakage risk providing program | |
| JP6710716B2 (en) | Threat information evaluation device, threat information evaluation method and program | |
| JP2018055613A (en) | Device, method, and program for generating anonymized tables | |
| Wen et al. | Joint inference for competing risks data using multiple endpoints | |
| JP2013152670A (en) | Database disturbance parameter setting device, database disturbance system and method, and database disturbance device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200330 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200521 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6711519 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |